漏洞描述
D-Link NAS 设备中的一个关键漏洞(CVE-2024-10914),对全球 61,000 多个系统构成严重威胁。该漏洞是 account_mgr.cgi脚本中的命令注入漏洞,允许远程攻击者通过特制的 HTTP GET 请求执行任意命令。此问题影响多个 D-Link NAS 型号,包括 DNS-320、DNS-320LW、DNS-325 和 DNS-340L,CVSSv4 得分为 9.2,表明严重程度较高。该漏洞主要影响account_mgr.cgi脚本的cgi_user_add命令中的name 参数。由于输入验证过滤不充分,注入name参数的恶意命令可导致未经授权的命令执行。使攻击者无需身份验证即可访问。