D-Link DIR-816 A2 虚拟服务访问控制CVE-2024-13103

D-Link DIR-816 A2路由器是一款SOHO无线路由器，主要面向小型办公室用户和家庭用户，其无线标准则采用了IEEE 802.11a/b/g/n/ac。

D-Link DIR-816 A2路由器的无线速率达到750Mbps，采用2.4GHz和5GHz工作频段，并采用了外置式天线类型，数量为3根，增益为5dBi。

一、基本情况

D-Link DIR-816 A2路由器具备内置防火墙功能，支持64/128位WEP加密和Wi-Fi安全存取（WPA, WPA2），支持WPS一键加密和QoS功能

D-Link DIR-816 A2 路由器适合小型办公室和家庭使用，能够提供稳定的无线覆盖和高速的网络连接，以其稳定的性能和易用性受到好评。

栋科技漏洞库关注到D-Link DIR-816 A2 1.10CNB05_R1B011D88210产品中存在一个漏洞，追踪为CVE-2024-13103，CVSS评分为5.3。

二、漏洞分析

CVE-2024-13103漏洞是D-Link DIR-816 A2路由器产品的1.10CNB05_R1B011D88210固件版本中存在的漏洞，该漏洞被分类为关键漏洞。

具体而言，该关键漏洞影响了组件 Virtual Service Handler 中的某些未知的文件处理过程，即/goform/form2AddVrtsrv.cgi的某些未知处理。

该漏洞位于D-Link DIR-816 A2 1.10CNB05_R1B011D88210的WEB管理界面中，是一个不正确访问控制漏洞，攻击者可能远程发起攻击。

通过向标题设置为form2AddVrtsrv.cgi的goform端点发送特制的未经身份验证的HTTP POST请求，攻击者利用漏洞设置设备的虚拟服务。

这种操纵导致不适当的访问控制，攻击可能是远程发起的。该漏洞已被公开并可能被利用，建议D-Link DIR-816 A2路由器用户尽快修复。

三、POC概念验证

四、影响范围

D-Link DIR-816 A2 固件版本 1.10CNB05_R1B011D88210

五、修复建议

通过D-Link官网下载最新固件，完成漏洞的修复。

六、参考链接

此处内容已隐藏，评论后刷新即可查看！