首页 > 安全研究 > 安全通报 > 安全通告

D-Link DNS-320设备远程代码执行漏洞安全通告

发布时间 2019-09-24

漏洞编号和级别


CVE编号:CVE-2019-16057,危险级别:严重,CVSS分值:9.8


影响版本


受影响的版本


D-Link DNS-320 2.05.B10及之前版本


漏洞概述


D-Link DNS-320是中国台湾友讯(D-Link)公司的一款NAS(网络附属存储)设备。


研究人员发现D-Link DNS-320 ShareCenter设备存在一个命令注入漏洞,攻击者可利用该漏洞远程控制设备并访问设备上存储的文件。


根据研究人员的报告,该漏洞与DNS-320管理界面的SSL Login的隐藏功能有关,受影响的模块/cgi/login_mgr.cgi包含一个可能被利用的参数port,未经身份验证的远程攻击者可利用该漏洞在root权限下执行任意命令,从而导致设备被接管。 

 


漏洞验证

 


修复建议


目前厂商已发布升级补丁以修复漏洞,见参考链接。


参考链接


https://blog.cystack.net/d-link-dns-320-rce/ 

上一篇 下一篇