D-Link NAS设备存在一个名为CVE-2024-10914的关键漏洞，影响全球超过61,000个系统。该漏洞存在于`account_mgr.cgi`脚本中，允许远程攻击者通过特制的HTTP GET请求执行任意命令。此漏洞影响多个D-Link NAS型号，包括DNS-320、DNS-320LW、DNS-325和DNS-340L，CVSSv4评分高达9.2，表明其严重性。攻击者可利用此漏洞获取未授权访问、篡改数据甚至部署恶意软件。D-Link建议用户尽快安装固件更新，并限制NAS管理界面的网络访问来缓解风险。

⚠️ **`account_mgr.cgi`脚本命令注入漏洞:** 该漏洞存在于`account_mgr.cgi`脚本的`cgi_user_add`命令中的`name`参数，由于输入消毒不充分，攻击者可注入恶意命令执行。

💻 **受影响设备型号:** 包括DNS-320、DNS-320LW、DNS-325和DNS-340L等多个D-Link NAS型号，这些设备常用于个人和小型企业的数据存储。

🛠️ **攻击利用方式:** 攻击者可通过向NAS设备的IP地址发送特制的HTTP GET请求，利用`name`参数注入shell命令，实现未授权的命令执行。

🛡️ **缓解措施:** D-Link建议用户立即下载并安装官方提供的固件更新，并限制NAS管理界面的网络访问，密切关注后续安全补丁。

🚨 **漏洞严重性:** CVSSv4评分高达9.2，表明该漏洞非常严重，可能导致未授权访问、数据篡改，甚至恶意软件部署。

在 D-Link NAS 设备中发现一个关键漏洞（CVE-2024-10914），对全球 61,000 多个系统构成严重威胁。该漏洞是 account_mgr.cgi 脚本中的命令注入漏洞，允许远程攻击者通过特制的 HTTP GET 请求执行任意命令。此问题影响多个 D-Link NAS 型号，包括 DNS-320、DNS-320LW、DNS-325 和 DNS-340L，CVSSv4 得分为 9.2，表明严重程度较高。该漏洞主要影响 account_mgr.cgi 脚本的 cgi_user_add 命令中的 name 参数。由于输入消毒不充分，注入name参数的恶意命令可导致未经授权的命令执行。正如 NETSECFISH 所强调的，“这个漏洞允许未经身份验证的攻击者通过伪造的 HTTP GET 请求注入任意 shell 命令”，使攻击者无需身份验证即可访问。受影响的设备DNS-320 – 版本 1.00DNS-320LW – 版本 1.01.0914.2012DNS-325 – 版本 1.01 和 1.02DNS-340L – 版本 1.08这些型号通常用于个人和小型企业的数据存储，这意味着敏感信息可能会受到攻击。攻击者可通过向 NAS 设备的 IP 地址发送特制 HTTP GET 请求来利用 CVE-2024-10914。以下示例演示了使用 curl 命令进行利用：curl "http://[Target-IP]/cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27" 此命令会向name参数注入 shell 命令，从而在目标设备上触发意外执行。该命令注入漏洞被归类为 CWE-77，它使用户面临潜在的未授权访问、数据篡改，甚至在受影响设备上部署恶意软件。为缓解这一漏洞，NETSECFISH 建议立即采取以下几个步骤：应用补丁和更新： 用户应下载并安装 D-Link 提供的任何固件更新。限制网络访问： 作为临时措施，对 NAS 管理界面的网络访问应仅限于受信任的 IP 地址。监控固件更新： 受影响的设备用户应密切关注 D-Link 即将提供的任何安全补丁。