D-Link решила не исправлять критическую уязвимость на 60 старых устройствах NAS
habr.comD-Link не будет исправлять критическую уязвимость, которая затрагивает более 60 тысяч старых сетевых устройств хранения данных.
Она позволяет внедрять команды с помощью общедоступного эксплойта.Уязвимость CVE-2024-10914 получила критическую оценку серьёзности 9,2 и присутствует в команде «cgi_user_add», где параметр имени недостаточно очищен.Неаутентифицированный злоумышленник может использовать её для внедрения произвольных команд оболочки, отправляя устройствам специально созданные запросы HTTP GET.Уязвимость затрагивает несколько моделей NAS, которые обычно используются малыми предприятиями, в том числе DNS-320 версии 1.00, DNS-320LW версии 1.01.0914.2012, DNS-325 версий 1.01 и 1.02, а также DNS-340L версии 1.08.В техническом описании, где приводятся подробности об эксплойте, исследователь безопасности Netsecfish говорит, что для использования уязвимости требуется отправить «созданный HTTP-запрос GET на устройство NAS с вредоносным вводом в параметре имени». «Этот запрос curl создает URL-адрес, который запускает команду cgi_user_add с параметром имени, включающим внедрённую команду оболочки», — объясняет исследователь.
