Эксперты команды Координационного центра CERT при Университете Карнеги-Меллона сообщили о критической уязвимости переполнения буфера (stack buffer overflow) в реализации протокола HNAP (Home Network Automation Protocol) в маршрутизаторах производства D-Link.
Согласно предупреждению, проблема, получившая идентификатор CVE-2016-6563, позволяет удаленному неаутентифицированному атакующему выполнить произвольный код с привилегиями суперпользователя. Уязвимость существует из-за некорректной обработки SOAP-сообщений при выполнении действия HNAP Login. Проблема затрагивает следующие модели маршрутизаторов D-Link: DIR-823, DIR-822, DIR-818L(W), DIR-895L, DIR-890L, DIR-885L, DIR-880L и DIR-868L.
Компания D-Link пока не выпустила патч, устраняющий данную уязвимость. В качестве временной меры по предотвращению эксплуатации проблемы специалисты рекомендуют отключить функцию удаленного управления уязвимым маршрутизатором. (D-Link/NovostIT)