# CVE-2026-4529 - D-Link DHP-1320 Buffer Overflow RCE > [!high] CVSS 8.8 - Stack-based buffer overflow no roteador D-Link DHP-1320 · PoC público disponível no GitHub · Sem patch disponível ## Visão Geral A CVE-2026-4529 é uma vulnerabilidade de stack-based buffer overflow no roteador D-Link DHP-1320 v1.00WWB04, específicamente no handler SOAP através do parâmetro `redirect_count_down_page`. A falha permite que um atacante autenticado execute código arbitrário com privilégios de root no dispositivo, via envio de requisição SOAP com valor excessivamente longo. Um proof-of-concept público está disponível no GitHub desde março de 2026. Dispositivos D-Link afetados não receberão patch - a marca frequentemente declara produtos End-of-Life sem correções de segurança. A combinação de PoC público, ausência de patch e grande base instalada em LATAM configura risco operacional elevado para redes domésticas e SMB que dependem desses equipamentos. > [!latam] Relevância para Brasil e LATAM > O D-Link é uma das marcas de roteadores mais vendidas no Brasil e LATAM pela relação custo-benefício. Dispositivos vulneráveis raramente recebem atualizações de firmware e permanecem expostos por anos. O PoC público facilita exploração por agentes de menor sofisticação técnica, incluindo operadores de botnets IoT do tipo Mirai que têm histórico de comprometer infraestrutura de rede na região. ## Resumo **CVE-2026-4529** é uma vulnerabilidade de stack-based buffer overflow no roteador **D-Link DHP-1320 v1.00WWB04**, específicamente no handler SOAP via o parâmetro `redirect_count_down_page`. A falha permite que um atacante autenticado execute código arbitrário no dispositivo com privilégios de root, via envio de requisição SOAP com valor excessivamente longo. Um proof-of-concept (PoC) está disponível públicamente no GitHub, aumentando significativamente o risco de exploração. O D-Link DHP-1320 é amplamente utilizado como roteador doméstico e de pequenas empresas no Brasil e no LATAM como alternativa de baixo custo. **Pontuação de risco:** - CVSS v3.1: **8.8** (Alto) - EPSS: **~58%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: não listado - Exploit público: **PoC disponível no GitHub** ## Impacto Técnico Um atacante que explore esta vulnerabilidade com sucesso pode: - **RCE como root:** executar código arbitrário no roteador com máximos privilégios - **Persistência:** instalar malware persistente no firmware do dispositivo - **Interceptação de tráfego:** redirecionar DNS, realizar man-in-the-middle em toda a rede doméstica/SMB - **Botnet:** incorporar o dispositivo a redes botnet de IoT (semelhante ao Mirai) **Impacto para organizações LATAM/Brasil:** O D-Link é uma das marcas de roteadores mais vendidas no Brasil e no LATAM por oferecer custo-benefício atrativo para residências e pequenas empresas (SMB). Dispositivos vulneráveis raramente recebem atualizações de firmware e muitas vezes permanecem expostos por anos. O PoC público eleva o risco operacional. Setores de pequeno e médio comércio que utilizam D-Link em redes SMB são os mais expostos. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | D-Link | DHP-1320 | v1.00WWB04 | patch não disponível | **Nota:** D-Link frequentemente declara produtos End-of-Life sem fornecer patches - verificar status do dispositivo. ## Patch e Mitigação **Patch oficial:** **Não disponível** - verificar portal D-Link por atualizações **Mitigações temporárias:** - Desabilitar a interface SOAP/UPnP no roteador se não for necessária - Isolar o roteador em VLAN separada com acesso restrito - Substituir por equipamento com suporte ativo de firmware - Monitorar tráfego de rede por comportamento anômalo de roteadores D-Link - Desabilitar gerenciamento remoto (acesso WAN à interface admin) ## Exploração Ativa **Status atual:** PoC público disponível - sem confirmação de exploração ativa em produção **Evidências:** - VulnDB: PoC disponível no GitHub - 2026-03-21 - Risco elevado por PoC público e ampla presença de dispositivos LATAM sem patch ## Notas Relacionadas **CVEs relacionados:** [[cve-2026-4567|CVE-2026-4567]] · [[cve-2026-4534|CVE-2026-4534]] · [[cve-2026-4535|CVE-2026-4535]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1490-inhibit-system-recovery|T1498]] · [[t1059-command-scripting-interpreter|T1059]] **Setores em risco:** [[technology]] · [[critical-infrastructure]] ## Referências - [VulnDB - CVE-2026-4529](https://vuldb.com/?id.352317) - 2026-03-21