近期，永信至诚KR实验室发现D-Link DIR-645原创漏洞，第一时间上报至CNNVD（国家信息安全漏洞库）并通知相关厂商。该漏洞于3月31日被CNNVD发布，危害等级被定义为超危，CVE编号为CVE-2021-43722。目前，厂商已经发布升级补丁进行漏洞修复。
 
 
 
D-Link DIR-645是中国台湾友讯（D-Link）公司的一款无线路由器。本次被收录的漏洞存在其1.03 A1 版本中，源于 cgibin 处理程序中的 hnap_main 函数使用 sprintf 将 soapaction 标头格式化到堆栈上，并且对大小没有限制。目前厂商已经针对该漏洞发布了升级补丁，各位用户可到其官方网站下载以修复这个安全问题：https://www.dlink.com/en/security-bulletin/
 
永信至诚KR实验室专注于网络安全创新技术及攻防技术研究，研究内容覆盖操作系统安全技术研究、机器学习与自动化技术研究、Web 安全与渗透测试、移动端恶意软件分析、网络蜜罐捕获技术研究等方向。