São duas e podem levar a situações de execução de código remota e acesso a informação sensível.
A falha apontada pelo CVE-2019-17621 diz respeito à possibilidade de execução de código remota e reside no código de processamento de pedidos por UPnP. No entanto, para que seja bem sucedida a sua exploração, o atacante precisa de estar no mesmo segmento de rede que o dispositivo vulnerável.
O módulo desta falha foi introduzido na base de dados do Metasploit e o código foi exposto no github como "Router D-LINK RCE".
A outra falha - CVE-2019-20213 - diz respeito à possibilidade de acesso a informação sensível, cuja exploração pode ser bem sucedida caso o atacante consiga acesso ao ficheiro de configuração da VPN, acedendo a informação à qual não é suposto aceder. O problema reside na função phpcgi_main, executado como ponto de entrada do binário phpcgi, que na realidade é um link simbólico ao binário em /htdocs/cgibin. É a função que processa todos os pedidos HTTP com métodos HEAD, GET ou POST, e cuja extensão é php, asp, entre outros. A função também obtém e processa os parâmetros no URL, criando strings em forma de "chave=valor", e passa-os como parâmetros de PHP.
Desta forma, devido a um erro no processamento do corpo do pedido, é possível ultrapassar a autenticação requerida no dispositivo quando se acede a determinados ficheiros PHP caso o atacante envie um pedido HTTP especialmente criado.
O advisory inicialmente lançado era apenas dirigido à família de routers DIR-859. No entanto, posteriormente, foi alargado a milhares de modelos DIR.
Mais informações sobre as falhas reportadas no site oficial: https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10147