Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03131

Опубликовано: 03 апр. 2024
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Средний

Описание

Уязвимость CGI-скрипта info.cgi микропрограммного обеспечения устройств NAS D-Link DNS-320L, DNS-320LW и DNS-327L связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путём отправки специально сформированного HTTP GET-запроса

Вендор

D-Link Corp.

Наименование ПО

DNS-327L
DNS-320L
DNS-320LW

Версия ПО

1.00.0409.2013 (DNS-327L)
1.01.0914.2012 (DNS-320L)
1.01.0914.2012 (DNS-320LW)

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- ограничение доступа из общедоступных сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.57871
Средний

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-3274

CVSS3: 5.3
nvd
почти 2 года назад

** UNSUPPORTED WHEN ASSIGNED ** A vulnerability has been found in D-Link DNS-320L, DNS-320LW and DNS-327L up to 20240403 and classified as problematic. Affected by this vulnerability is an unknown functionality of the file /cgi-bin/info.cgi of the component HTTP GET Request Handler. The manipulation leads to information disclosure. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-259285 was assigned to this vulnerability. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. NOTE: Vendor was contacted early and confirmed immediately that the product is end-of-life. It should be retired and replaced.

github логотип

GHSA-gfv4-5h96-2r6f

CVSS3: 5.3
github
почти 2 года назад

A vulnerability has been found in D-Link DNS-320L, DNS-320LW and DNS-327L up to 20240403 and classified as problematic. Affected by this vulnerability is an unknown functionality of the file /cgi-bin/info.cgi of the component HTTP GET Request Handler. The manipulation leads to information disclosure. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-259285 was assigned to this vulnerability. NOTE: Vendor was contacted early and confirmed immediately that the product is end-of-life. It should be retired and replaced.

EPSS

Процентиль: 98%
0.57871
Средний

5.3 Medium

CVSS3

5 Medium

CVSS2