CVE-2024-10914

Versões do D-Link DNS-320 anteriores a 20241028

Versões do D-Link DNS-320LW anteriores a 20241028

Versões do D-Link DNS-325 anteriores a 20241028

Versões do D-Link DNS-340L anteriores a 20241028

Existe uma vulnerabilidade crítica nos dispositivos D-Link DNS-320, DNS-320LW, DNS-325 e DNS-340L. O problema é uma falha de injeção de comando localizada na função cgi user add do arquivo /cgi-bin/account mgr.cgi?cmd=cgi user add. A manipulação do argumento name permite a execução de comandos arbitrários do sistema operacional. O ataque pode ser lançado remotamente. A exploração é considerada difícil, mas um exploit público está disponível. Estima-se que aproximadamente 61.000 dispositivos em todo o mundo estejam afetados, com tentativas de exploração observadas a partir de 12 de novembro. A vulnerabilidade se deve à validação insuficiente da entrada do parâmetro name, permitindo que invasores injetem comandos de shell.

D-Link DNS-320: Como a D-Link não lançará uma correção, substitua o dispositivo por um modelo compatível ou restrinja o acesso de redes externas.

D-Link DNS-320LW: Como a D-Link não lançará uma correção, substitua o dispositivo por um modelo compatível ou restrinja o acesso de redes externas.

D-Link DNS-325: Como a D-Link não lançará uma correção, substitua o dispositivo por um modelo compatível ou restrinja o acesso de redes externas.

D-Link DNS-340L: Como a D-Link não lançará uma correção, substitua o dispositivo por um modelo compatível ou restrinja o acesso de redes externas.