Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03256

Опубликовано: 03 апр. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость CGI-скрипта nas_sharing.cgi микропрограммного обеспечения устройств NAS D-Link DNS-320L, DNS-325, DNS-327L и DNS-340L связана с использованием предустановленных учетных данных. Эксплуатация уязвимости может позволить может позволить нарушителю, действующему удалённо, выполнить произвольный код путём отправки специально сформированного HTTP GET-запроса

Вендор

D-Link Corp.

Наименование ПО

DNS-320L
DNS-325
DNS-340L
DNS-120
DNR-202L
DNS-315L
DNS-320
DNS-320LW
DNS-321
DNR-322L
DNS-323
DNS-326
DNS-327L
DNR-326
DNS-343
DNS-345
DNS-726-4
DNS-1100-4
DNS-1200-05

Версия ПО

- (DNS-320L)
- (DNS-325)
- (DNS-340L)
- (DNS-120)
- (DNR-202L)
- (DNS-315L)
- (DNS-320)
- (DNS-320LW)
- (DNS-321)
- (DNR-322L)
- (DNS-323)
- (DNS-326)
- (DNS-327L)
- (DNR-326)
- (DNS-343)
- (DNS-345)
- (DNS-726-4)
- (DNS-1100-4)
- (DNS-1200-05)

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое средство
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удаленного доступа;
- ограничение доступа из общедоступных сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94168
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-3272

CVSS3: 9.8
nvd
почти 2 года назад

** UNSUPPORTED WHEN ASSIGNED ** A vulnerability, which was classified as very critical, has been found in D-Link DNS-320L, DNS-325, DNS-327L and DNS-340L up to 20240403. This issue affects some unknown processing of the file /cgi-bin/nas_sharing.cgi of the component HTTP GET Request Handler. The manipulation of the argument user with the input messagebus leads to hard-coded credentials. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-259283. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. NOTE: Vendor was contacted early and confirmed immediately that the product is end-of-life. It should be retired and replaced.

github логотип

GHSA-qr33-7mgh-rqvr

CVSS3: 9.8
github
почти 2 года назад

** UNSUPPORTED WHEN ASSIGNED ** A vulnerability, which was classified as very critical, has been found in D-Link DNS-320L, DNS-325, DNS-327L and DNS-340L up to 20240403. This issue affects some unknown processing of the file /cgi-bin/nas_sharing.cgi of the component HTTP GET Request Handler. The manipulation of the argument user with the input messagebus leads to hard-coded credentials. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-259283. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. NOTE: Vendor was contacted early and confirmed immediately that the product is end-of-life. It should be retired and replaced.

EPSS

Процентиль: 100%
0.94168
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2