首頁 > 安全研究 > 安全通報 > 安全通告

D-Link DNS-320設備遠程代碼執行漏洞安全通告

發布時間 2019-09-24

漏洞編號和級別


CVE編號:CVE-2019-16057,危險級別:嚴重,CVSS分值:9.8


影響版本


受影響的版本


D-Link DNS-320 2.05.B10及之前版本


漏洞概述


D-Link DNS-320是中國臺灣友訊(D-Link)公司的一款NAS(網絡附屬存儲)設備。


研究人員發現D-Link DNS-320 ShareCenter設備存在一個命令注入漏洞,攻擊者可利用該漏洞遠程控制設備并訪問設備上存儲的文件。


根據研究人員的報告,該漏洞與DNS-320管理界面的SSL Login的隱藏功能有關,受影響的模塊/cgi/login_mgr.cgi包含一個可能被利用的參數port,未經身份驗證的遠程攻擊者可利用該漏洞在root權限下執行任意命令,從而導致設備被接管。 

 


漏洞驗證

 


修復建議


目前廠商已發布升級補丁以修復漏洞,見參考鏈接。


參考鏈接


https://blog.cystack.net/d-link-dns-320-rce/ 

上一篇 下一篇