CRITICAL✓ PATCH🇬🇧 English

CVE-2024-10914

Command injection w D-Link DNS-320/325/340L — zdalne wykonanie poleceń OS

CVSS 9.2v4.0pub. 2024-11-06upd. 2024-11-24

Krytyczna podatność typu command injection została odkryta w urządzeniach NAS firmy D-Link (modele DNS-320, DNS-320LW, DNS-325 i DNS-340L). Umożliwia zdalnemu atakującemu wykonanie dowolnych poleceń systemu operacyjnego bez uwierzytelnienia.

Pokaż oryginał (EN)

A vulnerability was found in D-Link DNS-320, DNS-320LW, DNS-325 and DNS-340L up to 20241028. It has been declared as critical. Affected by this vulnerability is the function cgi_user_add of the file /cgi-bin/account_mgr.cgi?cmd=cgi_user_add. The manipulation of the argument name leads to os command injection. The attack can be launched remotely. The complexity of an attack is rather high. The exploitation appears to be difficult. The exploit has been disclosed to the public and may be used.

🤖 Analiza AI
Jak działa

Podatność występuje w funkcji cgi_user_add obsługiwanej przez plik /cgi-bin/account_mgr.cgi?cmd=cgi_user_add. Poprzez manipulację parametrem 'name' przesyłanym do tego endpointu atakujący może wstrzyknąć dowolne polecenia systemowe, które zostaną wykonane przez urządzenie. Exploit został upubliczniony i może być wykorzystany przez osoby trzecie, choć złożoność przeprowadzenia ataku jest stosunkowo wysoka.

Skutki

Atakujący może zdalnie wykonać dowolne polecenia systemu operacyjnego na podatnym urządzeniu NAS, co prowadzi do pełnej kompromitacji urządzenia — utraty poufności, integralności oraz dostępności przechowywanych danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Ponieważ modele D-Link DNS-320, DNS-320LW, DNS-325 i DNS-340L mogą być urządzeniami wycofanymi z oficjalnego wsparcia (EoL), zaleca się odizolowanie tych urządzeń od sieci publicznej, ograniczenie dostępu do interfejsu administracyjnego wyłącznie do zaufanych adresów IP oraz rozważenie migracji na nowszy, wspierany sprzęt.

Kogo dotyczy

D-Link DNS-320, DNS-320LW, DNS-325 oraz DNS-340L we wszystkich wersjach firmware do 20241028 włącznie

Uwagi

Exploit został publicznie ujawniony (proof-of-concept dostępny w referencjach VulDB oraz netsecfish.notion.site). Podatność dotyczy urządzeń NAS często stosowanych w małych firmach i środowiskach domowych, które mogą być bezpośrednio eksponowane na internet.

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Dlink Dns 320

    HW
    Dlink
    wszystkie wersje
  • Dlink Dns 320 Firmware

    OS
    Dlink
    wszystkie wersje
  • Dlink Dns 320lw

    HW
    Dlink
    wszystkie wersje
  • Dlink Dns 320lw Firmware

    OS
    Dlink
    wszystkie wersje
  • Dlink Dns 325

    HW
    Dlink
    wszystkie wersje
  • Dlink Dns 325 Firmware

    OS
    Dlink
    wszystkie wersje
  • Dlink Dns 340l

    HW
    Dlink
    wszystkie wersje
  • Dlink Dns 340l Firmware

    OS
    Dlink
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2024-3272CRITICAL9.8⚠ KEVPL ✓ten sam produkt

D-Link DNS-320L/325/327L/340L — zakodowane na stałe poświadczenia (hard-coded credentials)

CVE-2020-25506CRITICAL9.8⚠ KEVten sam produkt

D-Link DNS-320 FW v2.06B01 Revision Ax is affected by command injection in the system_mgr.cgi component, which...

CVE-2019-16057CRITICAL9.8⚠ KEVten sam produkt

The login_mgr.cgi script in D-Link DNS-320 through 2.05.B10 is vulnerable to remote command injection.

CVE-2024-10915CRITICAL9.2PL ✓ten sam produkt

Command injection w D-Link DNS-320/325/340L przez parametr group

CVE-2014-7859CRITICAL9.8ten sam produkt

Stack-based buffer overflow in login_mgr.cgi in D-Link firmware DNR-320L and DNS-320LW before 1.04b08, DNR-322...

CVE-2024-10914 — Command injection w D-Link DNS-320/325/340L — zdalne wykonanie poleceń OS — CRITICAL 9.2 | CVEbaza.pl