solidot新版网站常见问题,请点击这里查看。

友讯证实不会修复旧型号 NAS 设备的高危漏洞

安全
Wilson (42865)发表于 2024年11月12日 14时05分 星期二

来自繁星若尘
友讯(D-Link)证实不会修复旧型号 NAS 设备的高危漏洞,它称已停止制造 NAS 设备,相关设备都已经终止支持。受影响的型号包括 DNS-320 Version 1.00、DNS-320LW Version 1.01.0914.2012、DNS-325 Version 1.01 和 Version 1.02,以及 DNS-340L Version 1.08。编号为 CVE-2024-10914 的漏洞是一个命令注入漏洞,风险等级 9.2/10,存在于 cgi_user_add 命令中,其 name 参数的数据清洗处理不充分。通过向设备发送特制 HTTP GET 请求,攻击者能利用漏洞注入任意 shell 命令。搜索显示有逾 6 万台联网友讯 NAS 设备受到该漏洞影响。友讯建议退役这些设备或者将其脱离公网。


https://www.bleepingcomputer.com/news/security/d-link-wont-fix-critical-flaw-affecting-60-000-older-nas-devices/