D-Link网络存储(NAS)是中国友讯(D-link)公司的一款统一服务路由器。

漏洞详情
多款D-Link网络附加存储 (NAS) 设备型号中 nas_sharing.cgi 接口存在命令执行漏洞(CVE-2024-3273)，该漏洞存在于“/cgi-bin/nas_sharing.cgi"脚本中，影响其 HTTP GET 请求处理程序组件，漏洞成因是通过硬编码帐户（用户名：“messagebus”和空密码)造成的后门以及通过"system”参数的命令注入问题。未经身份验证的攻击者可利用此漏洞获取服务器权限。

影响范围
DNS-320L Version 1.11、Version 1.03.0904.2013、Version 1.01.0702.2013
DNS-325  Version 1.01
DNS-327L Version 1.09、Version 1.00.0409.2013
DNS-340L Version 1.08

漏洞复现


修复建议
建议更新至最新版，完成漏洞的修复。

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。

参考链接
https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383