发布时间: 2025-01-01 来源:安博体育在线官网登录
在D-Link宣告不会修正其旧款NAS设备中存在的严峻缝隙CVE-2024-10914(CVSS评分9.8)仅数日后,针对该“不予修正”问题的使用便已开端。
依据安全公告,该缝隙答应经过cgi_user_add函数进行长途操作系统指令注入。虽然使用此缝隙较为杂乱,但由于已有揭露的使用东西,因而仍有或许完成进犯。
Netsecfish发布的一篇帖子指出:“在某些D-Link NAS设备的account_mgr.cgi URI中发现了一个指令注入缝隙。详细而言,该缝隙存在于CGI脚本cgi_user_add指令中name参数的处理过程中。此缝隙答应未经身份验证的进犯者经过精心结构的HTTP GET恳求注入恣意shell指令,影响了网络上超越61,000台设备。”
未经身份验证的进犯者可经过此缝隙,经过精心结构的HTTP GET恳求注入恣意shell指令。
安全公告还指出:“在D-Link的DNS-320、DNS-320LW、DNS-325和DNS-340L设备(到2024年10月28日的版别)中发现了一个被定为‘严峻’等级的缝隙。受影响的文件是/cgi-bin/account_mgr.cgi?cmd=cgi_user_add中的cgi_user_add函数。对参数name的篡改会导致操作系统指令注入。进犯能够长途建议,但进犯杂乱度较高。虽然使用此缝隙看似困难,但已有揭露的使用东西,或许会被使用。”
Shadowserver Foundation的研究人员观察到,从11月12日开端,便有人测验使用CVE-2024-10914缝隙。专家们发现,约有1,100台面向互联网的设备或许受此问题影响,其间大部分坐落英国、匈牙利和法国。
