I november förra året fixade D-Link kritiska sårbarheter i sin cylinderformade DIR-645 trådlösa WiFi router men talade inte om det för sina kunder.
Den gamla firmware versionen har en lustig egenskap att den spottar ut administratörens lösenord i textformat. Allt som behövs är ett litet CURL kommando:
curl -d SERVICES=DEVICE.ACCOUNT http:///getcfg.php
Det verkar som version 1.02 B11 har denna sårbarhet och som de flesta verkar ha installerat. Det finns en nyare version 1.03 som är daterad 2012-11-21 och verkar inte ha fått någon säkerhetesfix vilket skulle göra även den sårbar.
Detta ska vara fixat i 1.04