Katalog CVE

CVE-2025-60674

ŚrednieCVSS 6.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.53%

Percentyl 41 - wyżej niż 41% wszystkich znanych CVE

Streszczenie

W oprogramowaniu routera D-Link DIR-878A1 (wersja FW101B04.bin) wykryto podatność na przepełnienie bufora stosu w module obsługi pamięci USB. Problem występuje, gdy pole "Serial Number" z urządzenia USB jest odczytywane przez funkcję sscanf do 64-bajtowego bufora, podczas gdy fgets może wczytać do 127 bajtów, co prowadzi do przepełnienia stosu.

Ocena ryzyka

Atakujący z fizycznym dostępem do routera lub kontrolą nad podłączonym urządzeniem USB może wykorzystać tę podatność do potencjalnego wykonania dowolnego kodu na urządzeniu, co może skutkować pełnym przejęciem kontroli nad routerem.

Rekomendacja

Należy natychmiast zaktualizować oprogramowanie routera D-Link DIR-878A1 do najnowszej dostępnej wersji, jeśli producent wydał łatkę. W międzyczasie ograniczyć fizyczny dostęp do urządzenia i unikać podłączania niezaufanych urządzeń USB.

Oryginalny opis (angielski, źródło NVD)

A stack buffer overflow vulnerability exists in the D-Link DIR-878A1 router firmware FW101B04.bin in the rc binary's USB storage handling module. The vulnerability occurs when the "Serial Number" field from a USB device is read via sscanf into a 64-byte stack buffer, while fgets reads up to 127 bytes, causing a stack overflow. An attacker with physical access or control over a USB device can exploit this vulnerability to potentially execute arbitrary code on the device.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS