ГлавнаяБаза уязвимостей БДУ → BDU:2024-07577
6.5средняя

BDU:2024-07577

Уязвимость функции cgi_photo_search() (/cgi-bin/photocenter_mgr.cgi) микропрограммного обеспечения устройств D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726 -4, DNS-1100-4, DNS-1200-05 и DNS-1550-04, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2024-09-30
Описание

Уязвимость функции cgi_photo_search() (/cgi-bin/photocenter_mgr.cgi) микропрограммного обеспечения устройств D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726 -4, DNS-1100-4, DNS-1200-05 и DNS-1550-04 связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды с помощью специально сформированного POST-запроса

Затрагиваемое ПО и версии
DNS-320LDNS-325DNS-340LDNS-120DNR-202LDNS-315LDNS-320DNS-320LWDNS-321DNS-323DNS-326DNS-327LDNR-326DNS-343DNS-345DNS-726-4DNS-1100-4DNS-1200-05DNS-322LDNS-1550-04
Способ устранения

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN)

Оценка CVSS
Балл6.5 — средняя опасность
Источники и патчи
https://github.com/BuaaIOTTeam/Iot_Dlink_NAS/blob/main/DNS_cgi_photo_search.mdhttps://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383https://vuldb.com/?ctiid.274281https://vuldb.com/?id.274281https://vuldb.com/?submit.389261
Проверьте безопасность своего сайта и почты → Полная проверка домена