中国·开yun体育(官方)入口-APP下载安装·Maigoo百科

关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知

时间:2024-04-19 16:28:05来源:信息安全部作者:开yun体育官网入口

D-Link网络存储(NAS)是中国友讯(D-link)公司的一款统一服务路由器。

漏洞详情
多款D-Link网络附加存储 (NAS) 设备型号中 nas_sharing.cgi 接口存在命令执行漏洞(CVE-2024-3273),该漏洞存在于“/cgi-bin/nas_sharing.cgi"脚本中,影响其 HTTP GET 请求处理程序组件,漏洞成因是通过硬编码帐户(用户名:“messagebus”和空密码)造成的后门以及通过"system”参数的命令注入问题。未经身份验证的攻击者可利用此漏洞获取服务器权限。

影响范围
DNS-320L Version 1.11、Version 1.03.0904.2013、Version 1.01.0702.2013
DNS-325  Version 1.01
DNS-327L Version 1.09、Version 1.00.0409.2013
DNS-340L Version 1.08

漏洞复现
image006-1.jpg

修复建议
建议更新至最新版,完成漏洞的修复。

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。

参考链接
https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383

XML 地图