Origine : bjCSIRT
Numéro : 2024/ALERTE/076
Date de l’alerte : 11/11/2024
APERÇU :
Une vulnérabilité critique a été découverte dans plusieurs périphériques NAS de D-link qui permettrait à un acteur malveillant d’injecter des commandes à distance sur les appareils affectés.
DESCRIPTION :
Les périphériques NAS (Network Attached Storage) de D-Link sont des serveurs de stockage utilisés dans des environnements domestiques ou professionnels pour offrir un espace de stockage centralisé. Ces dispositifs permettent de sauvegarder, partager et accéder à des fichiers via un réseau privé ou via internet.
Ces périphériques sont affectés par la vulnérabilité libellée CVE-2024-10914, qui permettrait d’envoyer des requêtes HTTP contenant des entrées spécialement conçues dans le paramètre name de la fonction cgi_user_add. L’exploitation de cette faille permettrait à un acteur malveillant d’exécuter des commandes systèmes à distance.
Cette vulnérabilité est classée critique avec un score de sévérité de 9,2 selon CVSS:3.1.
IMPACT :
- Exécution de code arbitraire ;
- Compromission de l’intégrité du système ;
- Contournement de la politique de sécurité.
SYSTÈMES AFFECTÉS :
- D-link DNS-320 version 1.00 ;
- D-link DNS-320LW version 1.01.0914.2012 ;
- D-link DNS-325 versions 1.01 et 1.02 ;
- D-link DNS-340L version 1.08.
MESURES À PRENDRE :
Appliquer les mises à jour disponibles sur le site de l’éditeur.
RÉFÉRENCES :
