CRITICAL🇬🇧 English

CVE-2024-10915

Command injection w D-Link DNS-320/325/340L przez parametr group

CVSS 9.2v4.0pub. 2024-11-06upd. 2024-11-08

Krytyczna podatność typu command injection w urządzeniach NAS D-Link DNS-320, DNS-320LW, DNS-325 i DNS-340L pozwala zdalnemu atakującemu na wykonanie dowolnych poleceń systemowych. Exploit został ujawniony publicznie i może być wykorzystany przez nieuprawnione osoby.

Pokaż oryginał (EN)

A vulnerability was found in D-Link DNS-320, DNS-320LW, DNS-325 and DNS-340L up to 20241028. It has been rated as critical. Affected by this issue is the function cgi_user_add of the file /cgi-bin/account_mgr.cgi?cmd=cgi_user_add. The manipulation of the argument group leads to os command injection. The attack may be launched remotely. The complexity of an attack is rather high. The exploitation is known to be difficult. The exploit has been disclosed to the public and may be used.

🤖 Analiza AI
Jak działa

Podatność dotyczy funkcji cgi_user_add w pliku /cgi-bin/account_mgr.cgi?cmd=cgi_user_add. Poprzez manipulację parametrem 'group' w zapytaniu HTTP możliwe jest wstrzyknięcie poleceń systemu operacyjnego (OS command injection). Atak może być przeprowadzony zdalnie, bez konieczności uwierzytelnienia, choć wymaga relatywnie wysokiej złożoności technicznej po stronie atakującego.

Skutki

Atakujący może wykonać dowolne polecenia w kontekście systemu operacyjnego urządzenia NAS, co może prowadzić do pełnego przejęcia kontroli nad urządzeniem, utraty poufności i integralności przechowywanych danych oraz dostępności usługi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. W przypadku braku dostępnej aktualizacji należy rozważyć odizolowanie urządzenia od sieci publicznej, ograniczenie dostępu do interfejsu zarządzania wyłącznie do zaufanych sieci lokalnych oraz monitorowanie ruchu sieciowego kierowanego do endpointu cgi-bin/account_mgr.cgi

Kogo dotyczy

D-Link DNS-320, DNS-320LW, DNS-325 oraz DNS-340L we wszystkich wersjach firmware do 20241028 włącznie

Uwagi

Exploit został publicznie ujawniony (proof-of-concept dostępny w referencjach). Pomimo braku wpisu w CISA KEV, fakt publicznego ujawnienia exploitu zwiększa ryzyko wykorzystania podatności. Producent D-Link jest znany z ograniczonego wsparcia dla starszych modeli urządzeń NAS — należy zweryfikować dostępność aktualizacji dla konkretnego modelu.

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Dlink Dns 320

    HW
    Dlink
    wszystkie wersje
  • Dlink Dns 320 Firmware

    OS
    Dlink
    wszystkie wersje
  • Dlink Dns 320lw

    HW
    Dlink
    wszystkie wersje
  • Dlink Dns 320lw Firmware

    OS
    Dlink
    wszystkie wersje
  • Dlink Dns 325

    HW
    Dlink
    wszystkie wersje
  • Dlink Dns 325 Firmware

    OS
    Dlink
    wszystkie wersje
  • Dlink Dns 340l

    HW
    Dlink
    wszystkie wersje
  • Dlink Dns 340l Firmware

    OS
    Dlink
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2024-3272CRITICAL9.8⚠ KEVPL ✓ten sam produkt

D-Link DNS-320L/325/327L/340L — zakodowane na stałe poświadczenia (hard-coded credentials)

CVE-2020-25506CRITICAL9.8⚠ KEVten sam produkt

D-Link DNS-320 FW v2.06B01 Revision Ax is affected by command injection in the system_mgr.cgi component, which...

CVE-2019-16057CRITICAL9.8⚠ KEVten sam produkt

The login_mgr.cgi script in D-Link DNS-320 through 2.05.B10 is vulnerable to remote command injection.

CVE-2024-10914CRITICAL9.2PL ✓ten sam produkt

Command injection w D-Link DNS-320/325/340L — zdalne wykonanie poleceń OS

CVE-2014-7859CRITICAL9.8ten sam produkt

Stack-based buffer overflow in login_mgr.cgi in D-Link firmware DNR-320L and DNS-320LW before 1.04b08, DNR-322...