CVE-2024-7922

D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 e DNS-1550-04 até 20240814

Uma vulnerabilidade crítica afeta as funções cgi audio search, cgi create playlist, cgi get album all tracks, cgi get alltracks editlist, cgi get artist all album, cgi get genre all tracks, cgi get tracks list, cgi set airplay content e cgi write playlist do arquivo /cgi-bin/myMusic.cgi. Esse problema leva à injeção de comando e pode ser explorado remotamente. A exploração já foi divulgada ao público. Observe que esse problema afeta apenas produtos que não são mais suportados pelo mantenedor e devem ser retirados de uso e substituídos.

Como solução temporária, considere desativar as funções cgi audio search, cgi create playlist, cgi get album all tracks, cgi get alltracks editlist, cgi get artist all album, cgi get genre all tracks, cgi get tracks list, cgi set airplay content e cgi write playlist do arquivo /cgi-bin/myMusic.cgi até que um patch esteja disponível. Restrinja o acesso ao arquivo /cgi-bin/myMusic.cgi para minimizar o risco de exploração.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.