CVE-2024-3273 - это критическая уязвимость командной инъекции, затрагивающая устройства NAS от D-Link, в частности модели DNS-320L, DNS-325, DNS-327L и DNS-340L, с прошивкой до версии от 3 апреля 2024 года. Уязвимость находится в компоненте HTTP GET Request Handler, а именно в файле /cgi-bin/nas_sharing.cgi. Манипулируя аргументом 'system', злоумышленник может внедрять и выполнять произвольные команды на устройстве. Атака может быть запущена удаленно и не требует предварительной аутентификации, что делает её крайне эксплуатируемой. Уязвимость активно эксплуатируется в дикой природе, и более 90 000 устройств могут быть затронуты. Эксплойт был публично раскрыт, и доступен код доказательства концепции. Критичность этой уязвимости подчеркивается её оценкой CVSS в 9.8. Важно отметить, что эти устройства больше не поддерживаются D-Link, так как достигли статуса конца жизненного цикла (EOL) или конца обслуживания (EOS). Таким образом, официальные патчи или обновления для устранения этой проблемы предоставлены не будут.
|