Независимый исследователь кибербезопасности под псевдонимом «Netsecfish» обнаружил серьёзную уязвимость в нескольких моделях сетевых хранилищ D-Link, которые больше не поддерживаются производителем. Проблема заключается в скрипте «/cgi-bin/nas_sharing.cgi», влияющем на компонент обработчика HTTP GET запросов.
Уязвимость, получившая обозначение CVE-2024-3273,
связана с наличием зашитого в программное обеспечение аккаунта (имя пользователя «messagebus» без пароля) и возможностью инъекции команд через параметр «system». Это позволяет злоумышленникам удалённо выполнять команды на устройстве.
Пример
Источник: SecurityLab