在此之前,安全研究人员Netsecfish在D-Link确认这些废弃设备不会获得修复后,于两周前披露了该漏洞的详情。Netsecfish进一步阐释道:“此次披露的漏洞不仅限于特定型号的D-Link NAS设备,而是广泛影响了包括DNS-340L、DNS-320L、DNS-327L以及DNS-325等在内的多款设备。”“一旦漏洞被成功利用,攻击者便可能获得在...
那么,这个漏洞到底有哪些危害呢?该漏洞存在于account_mgr.cgi脚本中,恶意攻击者可在未经身份验证的情况下,利用该漏洞在name参数中添加恶意输入,通过HTTP GET请求执行命令的方式达到进行注入式攻击的目的。目前已确定存在该安全漏洞,受影响的D-Link NAS产品型号包括:DNS-320 1.00版、DNS-320LW 1.01.0914.201...
这种漏洞究竟带来了怎样的威胁?存在于account_mgr.cgi脚本中的漏洞,允许恶意攻击者在未进行身份验证的情况下,通过在name参数中输入恶意内容,利用HTTP GET请求进行命令注入攻击。已确认存在此安全漏洞,受到影响的D-Link NAS设备型号包括:DNS-320 1.00版、DNS-320LW 1.01.0914.2012版、DNS-325 1.01和1.02...
黑客正利用D-Link路由器漏洞窃取密码 近日,威胁监控平台GreyNoise观察到,黑客正在利用一个影响所有D-Link DIR-859 WiFi路由器的严重漏洞,来收集用户设备上包括密码在内的账户信息。 根据制造商所发布的一份安全公告,该路由器存在的这个安全问题最早于一月份被披露,该漏...
网络安全专家近日披露了一项漏洞,指出多款已停止支持的D-Link网络附加存储(NAS)设备存在严重风险。该漏洞可以让攻击者注入任意命令或利用硬编码后门进行远程攻击。 研究人员Netsecfish解释说,这个问题存在于“/cgi-bin/nas_sharing.cgi”脚本中,并影响了HTTP GET请求处理程序组件。该漏洞被追踪编号为CVE-2024-3273,主要...
授人予鱼不如授人予渔,本文的目的并不是向大家介绍一个可以用来干翻全世界的0Day漏洞,而是介绍寻找这些漏洞的一种方法。 声明:我花了几分钟时间翻了翻D-Link官网,并没有在官网找到提交漏洞的地方。 二、扫描目标设备 这个步骤中最难的一关其实是找到这款路由器的电源线。启动路由器、接入开发环境后,第一要务...
CISA周一将四个来自SAP、D-Link、DrayTek和Motion Spell产品的漏洞添加到了已知被利用漏洞(KEV)目录中。这些漏洞大多已有数年之久,包括权限提升和远程命令执行等风险。由于这些漏洞已被威胁行为者利用,厂商被要求在2024年10月21日前修复这些漏洞。最古老的漏洞影响SAP Commerce Cloud(原名SAP Hybris Service Cloud...
研究人员警告说:“成功利用这个漏洞可让攻击者在系统上执行任意命令,可能导致未经授权访问敏感信息、修改系统配置或拒绝服务情况”。IT之家附上受 CVE-2024-3273 影响的设备型号如下:DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013DNS-325 Version 1.01DNS-327L Version 1.09, ...
研究人员Netsecfish于D-Link旗下部分型号的网络存储设备(NAS)发现重大层级的CVE-2024-10914,此为命令注入漏洞,存在于NAS设备名为account_mgr.cgi的URI,发生在CGI脚本cgi_user_add处理name参数的过程,未经身份验证的攻击者有机会利用伪造的HTTP GET请求,借由漏洞注入任意的Shell命令,估计全球约有6.1万台设备曝险。
漏洞存在于nas_sharing.cgi uri中,研究人员发现其中存在一个硬编码凭据和系统参数的命令注入后门。利用此漏洞,攻击者能够在受影响的D-Link NAS设备上执行任意命令,从而获取敏感信息、修改系统配置或导致拒绝服务。据Netsecfish报告,超过92,000个面向公众的D-Link NAS设备存在此漏洞。该漏洞利用了一个巧妙的技巧,即...