一、 漏洞 CVE-2024-10914 基础信息
漏洞信息
# D-Link DNS-320/DNS-320LW/DNS-325/DNS-340L account_mgr.cgi cgi_user_add 命令注入漏洞
## 概述
D-Link DNS-320, DNS-320LW, DNS-325 和 DNS-340L 版本在20241028之前的软件存在一个关键漏洞。该漏洞影响了文件 `/cgi-bin/account_mgr.cgi?cmd=cgi_user_add` 中的 `cgi_user_add` 函数。
## 影响版本
- D-Link DNS-320
- D-Link DNS-320LW
- D-Link DNS-325
- D-Link DNS-340L
版本号:20241028及之前的版本
## 细节
该漏洞允许通过操纵参数 `name` 导致操作系统命令注入。攻击者可以通过远程方式发起攻击,尽管攻击的复杂性较高,且利用难度较大。该漏洞的利用方法已被公开,可能会被恶意利用。
## 影响
- 攻击者可以通过远程方式利用此漏洞进行操作系统命令注入。
- 由于漏洞利用难度较高,但方法已被公开,存在潜在的被恶意利用的风险。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞存在于D-Link DNS-320, DNS-320LW, DNS-325 和 DNS-340L的Web服务端,具体涉及`/cgi-bin/account_mgr.cgi?cmd=cgi_user_add`中的`cgi_user_add`函数。通过操控`name`参数,攻击者可以实现操作系统命令注入,从而执行远程攻击。尽管攻击的复杂性较高且实施难度大,但由于该漏洞已被公开,因此存在被利用的风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
D-Link DNS-320/DNS-320LW/DNS-325/DNS-340L account_mgr.cgi cgi_user_add os command injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was found in D-Link DNS-320, DNS-320LW, DNS-325 and DNS-340L up to 20241028. It has been declared as critical. Affected by this vulnerability is the function cgi_user_add of the file /cgi-bin/account_mgr.cgi?cmd=cgi_user_add. The manipulation of the argument name leads to os command injection. The attack can be launched remotely. The complexity of an attack is rather high. The exploitation appears to be difficult. The exploit has been disclosed to the public and may be used.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
D-Link多款产品 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
D-Link DNS-320等都是中国友讯(D-Link)公司的一款NAS(网络附属存储)设备。 D-Link多款产品存在安全漏洞,该漏洞源于对参数name的错误操作会导致操作系统命令注入。以下产品及版本受到影响:D-Link DNS-320、DNS-320LW、DNS-325和DNS-340L 20241028版本及之前版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-10914 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Exploit for cve-2024-10914: D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L Version 1.00, Version 1.01.0914.2012, Version 1.01, Version 1.02, Version 1.08 Command Injection | https://github.com/imnotcha0s/CVE-2024-10914 | POC详情 |
| 2 | POC - CVE-2024–10914- Command Injection Vulnerability in `name` parameter for D-Link NAS | https://github.com/verylazytech/CVE-2024-10914 | POC详情 |
| 3 | 这是一个D-Link rce漏洞 检测程序 | https://github.com/Bu0uCat/D-Link-NAS-CVE-2024-10914- | POC详情 |
| 4 | CVE-2024-10914_Manual testing with burpsuite | https://github.com/Egi08/CVE-2024-10914 | POC详情 |
| 5 | CVE-2024-10914 is a critical command injection vulnerability affecting several legacy D-Link Network Attached Storage (NAS) devices. | https://github.com/ThemeHackers/CVE-2024-10914 | POC详情 |
| 6 | dlink vulnerability thing in python and rust | https://github.com/retuci0/cve-2024-10914-port | POC详情 |
| 7 | A PoC exploit for CVE-2024-10914 - D-Link Remote Code Execution (RCE) | https://github.com/K3ysTr0K3R/CVE-2024-10914-EXPLOIT | POC详情 |
| 8 | CVE-2024-10914 is a critical vulnerability affecting the D-Link DNS-320, DNS-320LW, DNS-325, and DNS-340L up to version 20241028. The function cgi_user_add in the file /cgi-bin/account_mgr.cgi?cmd=cgi_user_add is the culprit, allowing attackers to inject operating system commands remotely. | https://github.com/jahithoque/CVE-2024-10914-Exploit | POC详情 |
| 9 | CVE-2024-10914 D-Link Remote Code Execution (RCE) | https://github.com/redspy-sec/D-Link | POC详情 |
| 10 | A PoC exploit for CVE-2024-10914 - D-Link Remote Code Execution (RCE) | https://github.com/dragonXZH/CVE-2024-10914 | POC详情 |
| 11 | None | https://github.com/yenyangmjaze/cve-2024-10914 | POC详情 |
| 12 | CVE-2024-10914 Shell Exploit | https://github.com/silverxpymaster/CVE-2024-10914-Exploit | POC详情 |
| 13 | A vulnerability was found in D-Link DNS-320, DNS-320LW, DNS-325 and DNS-340L up to 20241028. It has been declared as critical. Affected by this vulnerability is the function cgi_user_add of the file /cgi-bin/account_mgr.cgi?cmd=cgi_user_add. The manipulation of the argument name leads to os command injection. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-10914.yaml | POC详情 |
| 14 | CVE-2024-10914 is a critical command injection vulnerability affecting several legacy D-Link Network Attached Storage (NAS) devices. | https://github.com/TH-SecForge/CVE-2024-10914 | POC详情 |
| 15 | CVE-2024-10914 Shell Exploit | https://github.com/Tamirido30/CVE-2024-10914-Exploit | POC详情 |
| 16 | PoC para explotar el CVE-2024-10914 | https://github.com/0xSS3K/CVE-2024-10914__POC | POC详情 |
三、漏洞 CVE-2024-10914 的情报信息
标题: Smart Home, SMB and Enterprise solutions | D-Link -- 🔗来源链接
标签:product
标题: Command Injection Vulnerability in `name` parameter for D-Link NAS -- 🔗来源链接
标签:exploit
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **漏洞类型**:命令注入(Command Injection Vulnerability)。 2. **受影响的设备**:D-Link NAS设备。 3. **受影响的URI**:`account_mgr.cgi`。 4. **受影响的参数**:`name`。 5. **攻击方式**:通过构造HTTP GET请求注入任意shell命令。 6. **受影响的设备数量**:超过61,000台设备。 7. **漏洞利用工具**:FQFA(FQFA是一个用于发现和分析网络漏洞的工具)。 这些信息表明,D-Link NAS设备存在一个命令注入漏洞,攻击者可以通过构造特定的HTTP请求来执行任意命令,从而可能对设备进行控制或造成其他安全风险。
标题: CVE-2024-10914 D-Link DNS-320/DNS-320LW/DNS-325/DNS-340L account_mgr.cgi cgi_user_add os command injection -- 🔗来源链接
标签:signaturepermissions-required
神龙速读:### 关键信息 - **漏洞编号**: - VDB-283309 - CVE-2024-10914 - **受影响设备**: - D-LINK DNS-320/DNS-320LW/DNS-325/DNS-340L - 版本范围: up to 20241028 - **漏洞类型**: - **OS Command Injection** - **受影响组件**: - `ACCOUNT_MGR.CGI?CMD=CGI_USER_ADD NAME` - **建议**: - 登录推荐 - 提高漏洞和威胁管理的水平 ### 其他信息 - **网站**: - vuldb.com - 版权: 1997-2024 - 许可: cc by-nc-sa - **语言选项**: - de, fr, it, es, pt, ru, pl, sv, zh, ja, ar - **版本**: - v18.10.0
标题: CVE-2024-10914 D-Link DNS-320/DNS-320LW/DNS-325/DNS-340L account_mgr.cgi cgi_user_add os command injection -- 🔗来源链接
标签:vdb-entrytechnical-description
神龙速读:### 关键信息 - **漏洞编号**: - VDB-283309 - CVE-2024-10914 - **受影响设备**: - D-LINK DNS-320/DNS-320LW/DNS-325/DNS-340L - 版本范围: up to 20241028 - **漏洞类型**: - **OS Command Injection** - **受影响文件**: - `ACCOUNT_MGR.CGI?CMD=CGI_USER_ADD NAME` - **推荐措施**: - 登录推荐 - 提高漏洞和威胁管理的水平 - **访问详细漏洞数据**: - 需要登录或购买商业或企业许可证 ### 相关链接 - **历史** (History) - **差异** (Diff) - **相关** (Relate) - **JSON** (API JSON) - **XML** (API XML) - **添加** (Add) - **购买** (Purchase) ### 版权信息 - **版权** (© 1997-2024 vuldb.com - cc by-nc-sa)
标题: Submit #432847: D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L Version 1.00, Version 1.01.0914.2012, Version 1.01, Version 1.02, Version 1.08 Command Injection -- 🔗来源链接
标签:third-party-advisory
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **漏洞编号**:#432847 2. **漏洞名称**:D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L Version 1.00, Version 1.01.0914.2012, Version 1.01, Version 1.02, Version 1.08 Command Injection 3. **受影响的设备**:D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L 4. **受影响的版本**:1.00, 1.01.0914.2012, 1.01, 1.02, 1.08 5. **漏洞描述**:在`account_mgr.cgi` URI的`name`参数中存在命令注入漏洞。攻击者可以通过构造HTTP GET请求,注入任意shell命令,影响超过61,000台设备。 6. **漏洞来源**:https://netsecfish.notion.site/Command-Injection-Vulnerability-in-name-parameter-for-D-Link-NAS-12d6b683e67c80c49ffcc9214c239a07?pvs=4 7. **提交者**:netsecfish (UID 64568) 8. **提交时间**:2024年10月28日2:23 PM 9. **审核时间**:2024年11月6日8:08 AM 10. **状态**:已接受 11. **VulDB Entry编号**:283309 12. **积分**:20
- https://nvd.nist.gov/vuln/detail/CVE-2024-10914
四、漏洞 CVE-2024-10914 的评论
暂无评论