В NAS-устройствах D-Link обнаружена критическая уязвимость CVE-2024-10914, представляющая серьезную опасность для более чем 61 000 систем по всему миру. Уязвимость, заключающаяся в инъекции команд в скрипте account_mgr.cgi, позволяет удаленным злоумышленникам выполнять произвольные команды с помощью специально созданных HTTP GET-запросов. Данная проблема затрагивает несколько моделей сетевых хранилищ D-Link, включая DNS-320, DNS-320LW, DNS-325 и DNS-340L, и имеет оценку CVSSv4 9.2, что указывает на высокий уровень серьезности.
Уязвимость затрагивает параметр name в команде cgi_user_add скрипта account_mgr.cgi. Из-за неадекватной санации ввода вредоносные команды, внедренные в параметр name, могут привести к несанкционированному выполнению команды. Как отметили в NETSECFISH, «этот недостаток позволяет неаутентифицированному злоумышленнику внедрить произвольные shell-команды через подделанные HTTP GET-запросы», что делает его доступным для злоумышленников без необходимости аутентификации.
Затронутые устройства:
DNS-320 - версия 1.00
DNS-320LW - версия 1.01.0914.2012
DNS-325 - версии 1.01 и 1.02
DNS-340L - версия 1.08
Эти модели обычно используются для хранения персональных данных и данных малого бизнеса, что означает, что конфиденциальная информация может быть подвержена риску в случае эксплуатации.
