D-Link 宣布,由于产品达到支持终止 (EOS) 状态,它不会发布影响其 DIR-846W 路由器所有硬件和固件版本的四个关键远程代码执行 (RCE) 漏洞的修复程序。这些漏洞由安全研究人员 yali-1002 发现,其中三个是关键的,不需要身份验证,并于 2024 年 8 月 27 日在 GitHub 上披露了极少的细节。研究人员一直不愿发布概念验证漏洞。
已识别的漏洞包括 CVE-2024-41622、CVE-2024-44340、CVE-2024-44341 和 CVE-2024-44342,CVSS v3 分数表示从高到严重。D-Link 承认存在安全问题,但将其标准 EOS/EOL 策略列为不发布安全更新的原因。该公司强烈建议用户停用 DIR-846W 路由器,以避免对连接设备造成潜在风险。虽然这些缺陷主要销往美国以外地区,但在使用这些路由器的地方,这些缺陷会带来显著的风险。来源