🔥 Критическая уязвимость в D-Link хранилках 🔥
🚨 CVE-2024-10914 — Обнаружена уязвимость в моделях D-Link DNS-320, DNS-320LW, DNS-325 и DNS-340L (версии до 28 октября 2024 года), позволяющая удалённым злоумышленникам выполнять произвольные команды.
🔴 Детали: Уязвимость связана с недостаточной проверкой параметра name в функции cgi_user_add файла /cgi-bin/account_mgr.cgi?cmd=cgi_user_add, что может привести к выполнению произвольных команд на устройстве.
💡 Рекомендации: D-Link не планирует выпускать обновления для этих моделей, так как они достигли конца жизненного цикла. Рекомендуется заменить устройства на поддерживаемые модели или, как временное решение, ограничить доступ к ним из внешних сетей.
🔗 PoC GitHub
/cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name=%27;;%27
🚨 CVE-2024-10914 — Обнаружена уязвимость в моделях D-Link DNS-320, DNS-320LW, DNS-325 и DNS-340L (версии до 28 октября 2024 года), позволяющая удалённым злоумышленникам выполнять произвольные команды.
🔴 Детали: Уязвимость связана с недостаточной проверкой параметра name в функции cgi_user_add файла /cgi-bin/account_mgr.cgi?cmd=cgi_user_add, что может привести к выполнению произвольных команд на устройстве.
💡 Рекомендации: D-Link не планирует выпускать обновления для этих моделей, так как они достигли конца жизненного цикла. Рекомендуется заменить устройства на поддерживаемые модели или, как временное решение, ограничить доступ к ним из внешних сетей.
🔗 PoC GitHub
/cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name=%27;;%27