PT-2024-7982 · D Link · D-Link Dns-320+2
Netsecfish
·
Publicado
2024-11-06
·
Atualizado
2025-12-01
·
CVE-2024-10915
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
D-Link DNS-320, DNS-320LW, DNS-325 e DNS-340L, versões até 20241028
Descrição
Existe uma vulnerabilidade crítica na função
cgi user add do arquivo /cgi-bin/account mgr.cgi?cmd=cgi user add nos dispositivos D-Link afetados. A manipulação do grupo de argumentos permite a injeção de comandos no sistema operacional. Isso permite que um invasor remoto execute comandos arbitrários no sistema. A complexidade de um ataque bem-sucedido é considerada alta e, embora a exploração seja difícil, existe um exploit público disponível.Recomendações
Atualize os dispositivos D-Link DNS-320, DNS-320LW, DNS-325 e DNS-340L para uma versão posterior à 20241028.
Exploit
Correção
Improper Neutralization
Special Elements Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
D-Link Dns-320
D-Link Dns-325
D-Link Dns-340L