ГлавнаяБаза уязвимостей БДУ → BDU:2024-07551
9высокая

BDU:2024-07551

Уязвимость функции cgi_FMT_Std2R5_2nd_DiskMGR() (/cgi-bin/hd_config.cgi) микропрограммного обеспечения устройств D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726 -4, DNS-1100-4, DNS-1200-05 и DNS-1550-04, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2024-09-30
Описание

Уязвимость функции cgi_FMT_Std2R5_2nd_DiskMGR() (/cgi-bin/hd_config.cgi) микропрограммного обеспечения устройств D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726 -4, DNS-1100-4, DNS-1200-05 и DNS-1550-04 связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды с помощью специально сформированного POST-запроса

Затрагиваемое ПО и версии
DNS-320LDNS-325DNS-340LDNS-120DNR-202LDNS-315LDNS-320DNS-320LWDNS-321DNS-323DNS-326DNS-327LDNR-326DNS-343DNS-345DNS-726-4DNS-1100-4DNS-1200-05DNS-322LDNS-1550-04
Способ устранения

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN)

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://github.com/BuaaIOTTeam/Iot_Dlink_NAS/blob/main/DNS_cgi_FMT_Std2R5_2nd_DiskMGR.mdhttps://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383https://vuldb.com/?ctiid.275923https://vuldb.com/?id.275923https://vuldb.com/?submit.397278https://www.dlink.com/
Проверьте безопасность своего сайта и почты → Полная проверка домена