CVE-2025-60674
ŚrednieCVSS 6.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 41 - wyżej niż 41% wszystkich znanych CVE
Streszczenie
W oprogramowaniu routera D-Link DIR-878A1 (wersja FW101B04.bin) wykryto podatność na przepełnienie bufora stosu w module obsługi pamięci USB. Problem występuje, gdy pole "Serial Number" z urządzenia USB jest odczytywane przez funkcję sscanf do 64-bajtowego bufora, podczas gdy fgets może wczytać do 127 bajtów, co prowadzi do przepełnienia stosu.
Ocena ryzyka
Atakujący z fizycznym dostępem do routera lub kontrolą nad podłączonym urządzeniem USB może wykorzystać tę podatność do potencjalnego wykonania dowolnego kodu na urządzeniu, co może skutkować pełnym przejęciem kontroli nad routerem.
Rekomendacja
Należy natychmiast zaktualizować oprogramowanie routera D-Link DIR-878A1 do najnowszej dostępnej wersji, jeśli producent wydał łatkę. W międzyczasie ograniczyć fizyczny dostęp do urządzenia i unikać podłączania niezaufanych urządzeń USB.
Oryginalny opis (angielski, źródło NVD)
A stack buffer overflow vulnerability exists in the D-Link DIR-878A1 router firmware FW101B04.bin in the rc binary's USB storage handling module. The vulnerability occurs when the "Serial Number" field from a USB device is read via sscanf into a 64-byte stack buffer, while fgets reads up to 127 bytes, causing a stack overflow. An attacker with physical access or control over a USB device can exploit this vulnerability to potentially execute arbitrary code on the device.

