📄 Description (English)
A security flaw has been discovered in D-Link DWR-M960 1.01.07. The impacted element is the function sub_469104 of the file /boafrm/formIpv6Setup. The manipulation of the argument submit-url results in stack-based buffer overflow. The attack may be performed from remote. The exploit has been released to the public and may be used for attacks.
🤖 AI Executive Summary
A critical stack-based buffer overflow vulnerability exists in D-Link DWR-M960 router firmware version 1.01.07, affecting the IPv6 setup function. The vulnerability allows remote attackers to execute arbitrary code without authentication by manipulating the submit-url parameter. With public exploit availability and widespread router deployment in Saudi networks, immediate patching is essential to prevent unauthorized access and potential network compromise.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Apr 22, 2026 23:00
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability poses significant risk to Saudi telecommunications infrastructure (STC, Mobily, Zain), government networks (NCA, CITC), and enterprise networks relying on D-Link DWR-M960 routers for internet connectivity and IPv6 deployment. Banking sector (SAMA-regulated institutions) and healthcare organizations using these routers for network access are at elevated risk. The public exploit availability increases attack likelihood against critical infrastructure. Remote code execution capability enables lateral movement into internal networks, potentially compromising sensitive data and operational continuity.
🏢 Affected Saudi Sectors
Telecommunications (STC, Mobily, Zain)
Government (NCA, CITC, Ministry networks)
Banking and Financial Services (SAMA-regulated)
Healthcare
Energy (ARAMCO, utilities)
Education
Enterprise Networks
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
9.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all D-Link DWR-M960 devices running firmware 1.01.07 in your network using asset discovery tools
2. Isolate affected routers from critical network segments if immediate patching is not possible
3. Disable remote management and IPv6 setup functions if not actively required
4. Monitor router access logs for suspicious submit-url parameter manipulation attempts
PATCHING:
1. Download latest firmware from D-Link support portal (verify version > 1.01.07)
2. Apply firmware update through router admin interface or CLI
3. Verify successful update by checking firmware version post-reboot
4. Test IPv6 connectivity and routing after patching
COMPENSATING CONTROLS (if patch unavailable temporarily):
1. Implement network-level access controls restricting access to router management interfaces (port 80/443)
2. Deploy WAF rules blocking requests with suspicious submit-url parameters containing buffer overflow payloads
3. Enable router authentication and change default credentials
4. Segment router management traffic to dedicated administrative VLANs
DETECTION:
1. Monitor for HTTP POST requests to /boafrm/formIpv6Setup with abnormally long submit-url values (>1024 bytes)
2. Alert on stack overflow patterns in router logs (segmentation faults, unexpected reboots)
3. Track failed authentication attempts to router management interface
4. Monitor for unexpected code execution or privilege escalation on router
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع أجهزة D-Link DWR-M960 التي تعمل بالإصدار 1.01.07 في شبكتك باستخدام أدوات اكتشاف الأصول
2. عزل الموجهات المتأثرة عن قطاعات الشبكة الحرجة إذا لم يكن التصحيح الفوري ممكنًا
3. تعطيل الإدارة البعيدة ووظائف إعداد IPv6 إذا لم تكن مطلوبة بنشاط
4. مراقبة سجلات وصول الموجه للمحاولات المريبة للتلاعب بمعامل submit-url
التصحيح:
1. تحميل أحدث برنامج تثبيت من بوابة دعم D-Link (التحقق من الإصدار > 1.01.07)
2. تطبيق تحديث البرنامج الثابت من خلال واجهة إدارة الموجه أو CLI
3. التحقق من نجاح التحديث بفحص إصدار البرنامج الثابت بعد إعادة التشغيل
4. اختبار اتصال IPv6 والتوجيه بعد التصحيح
الضوابط البديلة (إذا لم يكن التصحيح متاحًا مؤقتًا):
1. تطبيق ضوابط الوصول على مستوى الشبكة لتقييد الوصول إلى واجهات إدارة الموجه (المنفذ 80/443)
2. نشر قواعد WAF لحجب الطلبات ذات معاملات submit-url المريبة التي تحتوي على حمولات تجاوز المخزن المؤقت
3. تفعيل مصادقة الموجه وتغيير بيانات الاعتماد الافتراضية
4. تقسيم حركة إدارة الموجه إلى شبكات VLAN إدارية مخصصة
الكشف:
1. مراقبة طلبات HTTP POST إلى /boafrm/formIpv6Setup بقيم submit-url طويلة بشكل غير طبيعي (> 1024 بايت)
2. التنبيه على أنماط تجاوز المخزن المؤقت في سجلات الموجه (أخطاء التقسيم، إعادة التشغيل غير المتوقعة)
3. تتبع محاولات المصادقة الفاشلة لواجهة إدارة الموجه
4. مراقبة تنفيذ الأكواد غير المتوقعة أو تصعيد الامتيازات على الموجه
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.8.1 - Asset Management and Inventory Control
ECC 2024 A.12.6 - Change Management
ECC 2024 A.14.2 - System Development and Maintenance
ECC 2024 A.5.2 - Information Security Roles and Responsibilities
🔵 SAMA CSF
SAMA CSF ID.AM-1 - Physical Devices and Software Inventory
SAMA CSF PR.IP-3 - Configuration Change Management
SAMA CSF DE.CM-1 - Network Monitoring
SAMA CSF RS.MI-2 - Incident Response and Management
🟡 ISO 27001:2022
ISO 27001:2022 A.5.23 - Information Security for Supplier Relationships
ISO 27001:2022 A.8.1 - Asset Management
ISO 27001:2022 A.8.2 - Configuration Management
ISO 27001:2022 A.12.6 - Change Management
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security Patches and Updates
PCI DSS 11.2 - Vulnerability Scanning
🔗 References & Sources 5
🔗
https://github.com/LX-66-LX/cve-new/issues/19
cna@vuldb.com
Exploit
Issue Tracking
Third Party Advisory
🔗
https://vuldb.com/?ctiid.347179
cna@vuldb.com
Permissions Required
VDB Entry
🔗
https://vuldb.com/?id.347179
cna@vuldb.com
Third Party Advisory
VDB Entry
🔗
https://vuldb.com/?submit.754496
cna@vuldb.com
Third Party Advisory
VDB Entry
🔗
https://www.dlink.com/
cna@vuldb.com
Product
📦 Affected Products / CPE 1 entries
dlink:dwr-m960_firmware:1.01.07