📄 Description (English)
A vulnerability was determined in D-Link DWR-M960 1.01.07. Impacted is the function sub_427D74 of the file /boafrm/formIpQoS. Executing a manipulation of the argument submit-url can lead to stack-based buffer overflow. The attack can be executed remotely. The exploit has been publicly disclosed and may be utilized.
🤖 AI Executive Summary
A critical stack-based buffer overflow vulnerability exists in D-Link DWR-M960 router firmware version 1.01.07, affecting the IP QoS configuration function. The vulnerability can be exploited remotely through manipulation of the submit-url parameter, potentially allowing unauthorized code execution. With public exploit availability and widespread router deployment in Saudi networks, immediate patching is essential to prevent compromise of network infrastructure and lateral movement into critical systems.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Apr 22, 2026 22:59
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability poses significant risk to Saudi telecommunications infrastructure (STC, Mobily, Zain), government networks (NCA, CITC), and enterprise networks utilizing D-Link DWR-M960 routers as edge devices. Banking sector (SAMA-regulated institutions) faces risk if routers are deployed in branch networks or as VPN gateways. Energy sector (ARAMCO, SEC) and healthcare organizations using these routers for network segmentation are at elevated risk. The vulnerability enables remote code execution without authentication, potentially allowing attackers to establish persistent backdoors, intercept traffic, or pivot into internal networks.
🏢 Affected Saudi Sectors
Telecommunications (STC, Mobily, Zain)
Government (NCA, CITC, Ministry networks)
Banking and Financial Services (SAMA-regulated)
Energy (ARAMCO, SEC)
Healthcare
Enterprise Networks
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
8.9
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all D-Link DWR-M960 devices running firmware 1.01.07 in your network using asset discovery tools
2. Isolate affected routers from critical network segments if patching cannot be completed within 24 hours
3. Disable remote management access to affected devices immediately
4. Monitor router logs for suspicious access attempts to /boafrm/formIpQoS endpoint
PATCHING GUIDANCE:
1. Download latest firmware from D-Link support portal (verify version > 1.01.07)
2. Apply firmware update during maintenance window with documented rollback plan
3. Verify successful update by checking firmware version in device management interface
4. Test QoS functionality post-update to ensure operational continuity
COMPENSATING CONTROLS (if immediate patching not possible):
1. Implement network-level access controls restricting access to router management interfaces to authorized IPs only
2. Deploy WAF/IPS rules blocking requests to /boafrm/formIpQoS with suspicious submit-url parameters
3. Enable router authentication and change default credentials
4. Segment router management traffic on separate VLAN with restricted access
DETECTION RULES:
1. Monitor for HTTP POST requests to /boafrm/formIpQoS with oversized submit-url parameters (>256 bytes)
2. Alert on stack overflow patterns in router logs or crash dumps
3. Track firmware version changes across router fleet
4. Monitor for unexpected router reboots or process crashes
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع أجهزة D-Link DWR-M960 التي تعمل بالإصدار 1.01.07 في شبكتك باستخدام أدوات اكتشاف الأصول
2. عزل الأجهزة المتأثرة عن قطاعات الشبكة الحرجة إذا لم يكن التصحيح ممكنًا خلال 24 ساعة
3. تعطيل الوصول الإداري البعيد للأجهزة المتأثرة فورًا
4. مراقبة سجلات الجهاز للوصول المريب إلى نقطة نهاية /boafrm/formIpQoS
إرشادات التصحيح:
1. تحميل أحدث إصدار من البرنامج الثابت من بوابة دعم D-Link (التحقق من الإصدار > 1.01.07)
2. تطبيق تحديث البرنامج الثابت خلال نافذة الصيانة مع خطة تراجع موثقة
3. التحقق من نجاح التحديث بفحص إصدار البرنامج الثابت في واجهة إدارة الجهاز
4. اختبار وظيفة جودة الخدمة بعد التحديث لضمان استمرارية التشغيل
الضوابط البديلة (إذا لم يكن التصحيح الفوري ممكنًا):
1. تطبيق ضوابط الوصول على مستوى الشبكة تقيد الوصول إلى واجهات إدارة الجهاز بعناوين IP مصرح بها فقط
2. نشر قواعد WAF/IPS تحجب الطلبات إلى /boafrm/formIpQoS مع معاملات submit-url مريبة
3. تفعيل مصادقة الجهاز وتغيير بيانات الاعتماد الافتراضية
4. فصل حركة إدارة الجهاز على VLAN منفصل مع وصول مقيد
قواعد الكشف:
1. مراقبة طلبات HTTP POST إلى /boafrm/formIpQoS مع معاملات submit-url كبيرة الحجم (> 256 بايت)
2. التنبيه على أنماط تجاوز المكدس في سجلات الجهاز أو ملفات التفريغ
3. تتبع تغييرات إصدار البرنامج الثابت عبر أسطول الجهاز
4. مراقبة إعادة تشغيل الجهاز غير المتوقعة أو أعطال العملية
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.12.6.1 - Management of technical vulnerabilities
ECC 2024 A.14.2.1 - Secure development policy
ECC 2024 A.12.2.1 - Monitoring and logging of network access
🔵 SAMA CSF
SAMA CSF ID.RA-1 - Asset Management and Vulnerability Assessment
SAMA CSF PR.IP-12 - Security patch management
SAMA CSF DE.CM-1 - Detection and monitoring of network anomalies
🟡 ISO 27001:2022
ISO 27001:2022 A.12.3.1 - Segregation of networks
ISO 27001:2022 A.14.2.1 - Secure development and change management
ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security patches must be installed within defined timeframe
PCI DSS 11.2 - Vulnerability scanning and assessment
🔗 References & Sources 5
🔗
https://github.com/LX-66-LX/cve-new/issues/17
cna@vuldb.com
Exploit
Issue Tracking
Third Party Advisory
🔗
https://vuldb.com/?ctiid.347177
cna@vuldb.com
Permissions Required
VDB Entry
🔗
https://vuldb.com/?id.347177
cna@vuldb.com
Third Party Advisory
VDB Entry
🔗
https://vuldb.com/?submit.754490
cna@vuldb.com
Third Party Advisory
VDB Entry
🔗
https://www.dlink.com/
cna@vuldb.com
Product
📦 Affected Products / CPE 1 entries
dlink:dwr-m960_firmware:1.01.07