HIGHCVE-2026-5211CVSS 8.8

D-Link DNS-1550-04 app_mgr.cgi UPnP_AV_Server_Path_Del overflow baseado em pilha (stack-based overflow)

Plataforma

dlink

Componente

my_vuln

Corrigido em

20260205.0.1

AI Confidence: highNVDEPSS 0.0%Revisado: mai. de 2026

Ver no NVD

Salvar

CVE-2026-5211 é uma vulnerabilidade de buffer overflow baseada em pilha encontrada em vários dispositivos D-Link, incluindo DNS-120 e DNS-320L. A falha reside na função UPnPAVServerPathDel do arquivo /cgi-bin/appmgr.cgi, permitindo que um invasor remoto execute código arbitrário através da manipulação do argumento fdir. Dispositivos D-Link até a versão 20260205 estão vulneráveis. Um exploit para esta vulnerabilidade já foi publicado.

Impacto e Cenários de Ataque

Uma vulnerabilidade crítica de estouro de buffer na pilha foi descoberta em vários dispositivos D-Link, incluindo DNS-120, DNR-202L, DNS-315L e outros listados. Esta falha reside na função UPnPAVServerPathDel dentro do arquivo /cgi-bin/appmgr.cgi. Um atacante remoto pode explorar esta vulnerabilidade manipulando o argumento fdir, o que pode levar à execução de código arbitrário no dispositivo. A pontuação de severidade CVSS é 8.8, indicando um alto risco. A disponibilidade pública de um exploit agrava ainda mais a situação, permitindo que agentes maliciosos explorem facilmente a vulnerabilidade. A falta de uma correção oficial até a data de publicação (20260205) exige atenção imediata.

Contexto de Exploração

A vulnerabilidade é explorada por meio da manipulação remota do argumento fdir em uma solicitação HTTP enviada para /cgi-bin/appmgr.cgi. O estouro de buffer resultante pode permitir que um atacante sobrescreva a memória do dispositivo, executando potencialmente código malicioso. O lançamento público de um exploit significa que os atacantes agora têm as ferramentas para explorar esta vulnerabilidade relativamente facilmente. Isso aumenta significativamente o risco de ataques direcionados a dispositivos D-Link vulneráveis. A natureza remota da exploração facilita a propagação de ataques através de redes públicas ou privadas.

Quem Está em Riscotraduzindo…

Small and medium-sized businesses (SMBs) and home users who rely on D-Link DNS routers for internet connectivity are at risk. Shared hosting environments utilizing these routers for network management are particularly vulnerable, as a compromise of one router could potentially impact multiple users. Legacy configurations and routers that have not been regularly updated are also at higher risk.

Passos de Detecçãotraduzindo…

• linux / server:

journalctl -u upnp -f | grep -i overflow

• generic web:

curl -I <router_ip>/cgi-bin/app_mgr.cgi | grep -i 'Server: D-Link'

Linha do Tempo do Ataque

2026-03-31Disclosure
disclosure
2026-03-31PoC
poc

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido

CISA KEVNO

Exposição na InternetAlta

Relatórios1 relatório de ameaça

EPSS

0.03% (percentil 9%)

CISA SSVC

Exploraçãopoc

Automatizávelno

Impacto Técnicopartial

Vetor CVSS

Software Afetado

Componentemy_vuln

FornecedorD-Link

Faixa afetadaCorrigido em

20260205 – 2026020520260205.0.1

Classificação de Fraqueza (CWE)

CWE-121 CWE-119

Linha do tempo

Reservado2026-03-31
Publicada2026-03-31
Modificada2026-04-01
EPSS atualizado2026-04-08

Sem correção — 54 dias desde a divulgação

Mitigação e Soluções Alternativas

Diante da ausência de um patch oficial, a mitigação imediata envolve isolar os dispositivos afetados da rede. Isso pode ser alcançado desativando o acesso remoto, como UPnP, ou segmentando a rede para limitar o impacto potencial. Recomenda-se fortemente entrar em contato diretamente com a D-Link para solicitar um patch ou uma solução alternativa. Monitorar ativamente os dispositivos em busca de atividade suspeita é crucial no momento. Considere substituir os dispositivos afetados por modelos mais seguros com suporte de segurança atualizado como uma melhor prática a longo prazo. Atualizar o firmware para a versão mais recente disponível, mesmo que não aborde diretamente esta vulnerabilidade, pode melhorar a postura de segurança geral do dispositivo.

Como corrigirtraduzindo…

Actualice el firmware de su dispositivo D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 y DNS-1550-04 a una versión posterior a 20260205 para corregir la vulnerabilidad de desbordamiento de búfer basado en pila en la función UPnP_AV_Server_Path_Del del archivo /cgi-bin/app_mgr.cgi.

Boletim de Segurança CVE

Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.

Perguntas frequentes

O que é CVE-2026-5211 — Buffer Overflow em my_vuln?

Os dispositivos afetados incluem DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 e DNS-1550-04.

Estou afetado pelo CVE-2026-5211 no my_vuln?

Até a data de publicação (20260205), não há um patch oficial disponível para esta vulnerabilidade.

Como corrijo o CVE-2026-5211 no my_vuln?

Isolar o dispositivo da rede é a mitigação mais imediata. Entre em contato com a D-Link para solicitar um patch ou considere substituir o dispositivo.

O CVE-2026-5211 está sendo explorado ativamente?

Um estouro de buffer ocorre quando um programa tenta escrever dados além dos limites de um buffer de memória, o que pode corromper dados ou permitir a execução de código malicioso.

Onde encontro o aviso oficial do my_vuln para o CVE-2026-5211?

Desativar UPnP, segmentar a rede, manter o firmware atualizado e monitorar os dispositivos em busca de atividade suspeita são medidas preventivas importantes.

NextGuard

Vulnerabilidades

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis

Buscar CVEs

O que significam essas métricas?

Attack Vector: Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity: Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required: Baixo — qualquer conta de usuário válida é suficiente.
User Interaction: Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope: Inalterado — impacto limitado ao componente vulnerável.
Confidentiality: Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
Integrity: Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
Availability: Alto — falha completa ou esgotamento de recursos. Negação de serviço total.