【安全资讯】D-Link路由器发现四个严重的远程代码执行漏洞

概要：

D-Link DIR-846W路由器被发现存在四个严重的安全漏洞，可能使用户面临远程攻击的风险。这些漏洞的CVSS评分均为8.8或更高，尽管该设备已达到生命周期末尾，D-Link并不会提供修复补丁。

主要内容：

安全研究人员在D-Link DIR-846W路由器的固件版本A1 FW100A43中发现了四个关键漏洞，均允许攻击者远程执行恶意代码，可能完全控制受影响的设备。具体漏洞包括：

1. CVE-2024-41622（CVSS 8.8）：该漏洞位于/HNAP1/接口中的tomography_ping_address参数，攻击者可以通过利用此漏洞远程执行任意命令。

2. CVE-2024-44340（CVSS 8.8）：此RCE漏洞存在于SetSmartQoSSettings功能中，针对smartqos_express_devices和smartqos_normal_devices参数。虽然此攻击需要身份验证，但一旦成功，攻击者便可远程执行命令。

3. CVE-2024-44341（CVSS 9.8）：这是组中最严重的漏洞，涉及lan(0)_dhcps_staticlist参数，攻击者通过发送特制的POST请求，可以在没有任何身份验证的情况下远程执行命令。

4. CVE-2024-44342（CVSS 9.8）：此漏洞与前一个类似，位于wl(0).(0)_ssid参数，允许通过特制的POST请求进行远程命令执行。

由于这些路由器已不再受支持，D-Link建议用户立即更换为受支持的设备，以避免网络和连接设备面临重大安全风险。