CVE-2025-4843: D-Link DCS-932L udev SubUPnPCSInit stack-based overflow
Description
A vulnerability was found in D-Link DCS-932L 2.18.01. It has been classified as critical. This affects the function SubUPnPCSInit of the file /sbin/udev. The manipulation of the argument CameraName leads to stack-based buffer overflow. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. This vulnerability only affects products that are no longer supported by the maintainer. Es wurde eine Schwachstelle in D-Link DCS-932L 2.18.01 ausgemacht. Sie wurde als kritisch eingestuft. Betroffen hiervon ist die Funktion SubUPnPCSInit der Datei /sbin/udev. Dank der Manipulation des Arguments CameraName mit unbekannten Daten kann eine stack-based buffer overflow-Schwachstelle ausgenutzt werden. Umgesetzt werden kann der Angriff über das Netzwerk. Der Exploit steht zur öffentlichen Verfügung.
Classification
CVE ID: CVE-2025-4843
CVSS Base Severity: HIGH
CVSS Base Score: 8.8
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Affected Products
Vendor: D-Link
Product: DCS-932L
Exploit Prediction Scoring System (EPSS)
EPSS Score: 0.05% (probability of being exploited)
EPSS Percentile: 16.77% (scored less or equal to compared to others)
EPSS Date: 2025-06-15 (when was this score calculated)
References
https://nvd.nist.gov/vuln/detail/CVE-2025-4843https://vuldb.com/?id.309309
https://vuldb.com/?ctiid.309309
https://vuldb.com/?submit.574926
https://github.com/BeaCox/IoT_vuln/tree/main/D-Link/DCS-932L/udev_bof
https://www.dlink.com/