📄 Description (English)
A vulnerability was detected in D-Link DWR-M960 1.01.07. Affected by this vulnerability is the function sub_44E0F8 of the file /boafrm/formNewSchedule. Performing a manipulation of the argument url results in stack-based buffer overflow. Remote exploitation of the attack is possible. The exploit is now public and may be used.
🤖 AI Executive Summary
A critical stack-based buffer overflow vulnerability (CVE-2026-2959) affects D-Link DWR-M960 router firmware version 1.01.07, allowing remote code execution through manipulation of the 'url' parameter in the /boafrm/formNewSchedule function. With a CVSS score of 8.8 and publicly available exploits, this poses an immediate threat to organizations using this router model. Patch availability provides a clear remediation path, but urgent deployment is required given active exploit circulation.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Apr 23, 2026 01:07
🇸🇦 Saudi Arabia Impact Assessment
Saudi telecommunications operators (STC, Mobily, Zain) and government agencies using D-Link DWR-M960 routers for network infrastructure face critical risk of remote compromise. Banking sector organizations (SAMA-regulated institutions) utilizing these devices for branch connectivity or backup links could experience service disruption and data exfiltration. Energy sector (ARAMCO, utilities) and healthcare organizations relying on these routers for IoT/SCADA connectivity are at elevated risk. Small-to-medium enterprises across all sectors commonly deploy this router model, creating widespread exposure across Saudi's digital infrastructure.
🏢 Affected Saudi Sectors
Telecommunications (STC, Mobily, Zain)
Banking and Financial Services (SAMA-regulated)
Energy (ARAMCO, utilities)
Government and Public Administration
Healthcare
Small-to-Medium Enterprises
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
9.1
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all D-Link DWR-M960 devices running firmware 1.01.07 across your network using asset discovery tools
2. Isolate affected routers from critical network segments if patching cannot be completed within 24 hours
3. Enable access logs and monitor for suspicious /boafrm/formNewSchedule requests
4. Restrict administrative access to router management interfaces to authorized IPs only
PATCHING GUIDANCE:
1. Download the latest firmware from D-Link support portal (verify digital signatures)
2. Schedule maintenance windows for firmware updates during low-traffic periods
3. Test patches in lab environment before production deployment
4. Maintain backup of current configuration before upgrade
5. Verify successful upgrade by checking firmware version post-reboot
COMPENSATING CONTROLS (if patching delayed):
1. Implement WAF rules blocking requests containing buffer overflow payloads to /boafrm/formNewSchedule
2. Disable remote management features if not operationally required
3. Deploy network segmentation to limit router access to trusted subnets
4. Monitor router CPU/memory for exploitation indicators
DETECTION RULES:
1. Alert on HTTP POST requests to /boafrm/formNewSchedule with oversized 'url' parameters (>1024 bytes)
2. Monitor for unusual process execution from router web service processes
3. Track failed authentication attempts to router admin interfaces
4. Flag unexpected firmware version changes in device inventory
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع أجهزة D-Link DWR-M960 التي تعمل بالإصدار 1.01.07 عبر شبكتك باستخدام أدوات اكتشاف الأصول
2. عزل أجهزة التوجيه المتأثرة عن القطاعات الحرجة إذا لم يتمكن من إكمال التصحيح خلال 24 ساعة
3. تفعيل سجلات الوصول ومراقبة الطلبات المريبة إلى /boafrm/formNewSchedule
4. تقييد الوصول الإداري إلى واجهات إدارة جهاز التوجيه إلى عناوين IP المصرح بها فقط
إرشادات التصحيح:
1. تحميل أحدث البرامج الثابتة من بوابة دعم D-Link (التحقق من التوقيعات الرقمية)
2. جدولة نوافذ الصيانة لتحديثات البرامج الثابتة خلال فترات حركة المرور المنخفضة
3. اختبار التصحيحات في بيئة المختبر قبل نشر الإنتاج
4. الاحتفاظ بنسخة احتياطية من التكوين الحالي قبل الترقية
5. التحقق من نجاح الترقية بفحص إصدار البرنامج الثابت بعد إعادة التشغيل
الضوابط البديلة (إذا تأخر التصحيح):
1. تطبيق قواعد WAF لحجب الطلبات التي تحتوي على حمولات تجاوز المخزن المؤقت إلى /boafrm/formNewSchedule
2. تعطيل ميزات الإدارة عن بعد إذا لم تكن مطلوبة تشغيلياً
3. نشر تقسيم الشبكة لتحديد وصول جهاز التوجيه إلى الشبكات الموثوقة
4. مراقبة وحدة المعالجة المركزية والذاكرة لمؤشرات الاستغلال
قواعد الكشف:
1. تنبيه على طلبات HTTP POST إلى /boafrm/formNewSchedule بمعاملات 'url' كبيرة الحجم (>1024 بايت)
2. مراقبة تنفيذ العمليات غير العادية من عمليات خدمة الويب لجهاز التوجيه
3. تتبع محاولات المصادقة الفاشلة لواجهات إدارة جهاز التوجيه
4. وضع علامة على تغييرات إصدار البرنامج الثابت غير المتوقعة في جرد الأجهزة
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.12.6.1 - Management of technical vulnerabilities
ECC 2024 A.14.2.1 - Secure development policy
ECC 2024 A.12.2.1 - Monitoring and logging of network infrastructure
🔵 SAMA CSF
SAMA CSF ID.RA-1 - Asset management and vulnerability identification
SAMA CSF PR.IP-12 - Security patch management
SAMA CSF DE.CM-1 - Detection and monitoring of anomalous activity
🟡 ISO 27001:2022
ISO 27001:2022 A.12.3.1 - Segregation of networks
ISO 27001:2022 A.14.2.1 - Secure development and change management
ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security patches for system components
PCI DSS 11.2 - Vulnerability scanning and remediation
🔗 References & Sources 5
🔗
https://github.com/LX-66-LX/cve-new/issues/26
cna@vuldb.com
Exploit
Issue Tracking
Third Party Advisory
🔗
https://vuldb.com/?ctiid.347326
cna@vuldb.com
Permissions Required
VDB Entry
🔗
https://vuldb.com/?id.347326
cna@vuldb.com
Third Party Advisory
VDB Entry
🔗
https://vuldb.com/?submit.754511
cna@vuldb.com
Third Party Advisory
VDB Entry
🔗
https://www.dlink.com/
cna@vuldb.com
Product
📦 Affected Products / CPE 1 entries
dlink:dwr-m960_firmware:1.01.07