一、 漏洞 CVE-2024-10915 基础信息
漏洞信息
                                        # D-Link DNS-320/DNS-320LW/DNS-325/DNS-340L account_mgr.cgi cgi_user_add os 命令注入漏洞

## 概述
D-Link 设备 DNS-320, DNS-320LW, DNS-325 和 DNS-340L 中发现了一个关键漏洞,该漏洞导致操作系统命令注入。

## 影响版本
- 20241028 及之前版本

## 细节
- 影响文件: `/cgi-bin/account_mgr.cgi?cmd=cgi_user_add`
- 漏洞函数: `cgi_user_add`
- 漏洞触发: 通过对 `group` 参数的操纵,导致操作系统命令注入
- 攻击方式: 远程攻击
- 攻击复杂度: 高
- 利用难度: 高

## 影响
- 攻击者可以远程利用此漏洞进行操作系统命令注入。
- 利用方法已公开,可能被广泛利用。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
D-Link DNS-320/DNS-320LW/DNS-325/DNS-340L account_mgr.cgi cgi_user_add os command injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was found in D-Link DNS-320, DNS-320LW, DNS-325 and DNS-340L up to 20241028. It has been rated as critical. Affected by this issue is the function cgi_user_add of the file /cgi-bin/account_mgr.cgi?cmd=cgi_user_add. The manipulation of the argument group leads to os command injection. The attack may be launched remotely. The complexity of an attack is rather high. The exploitation is known to be difficult. The exploit has been disclosed to the public and may be used.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
D-Link多款产品 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
D-Link DNS-320等都是中国友讯(D-Link)公司的一款NAS(网络附属存储)设备。 D-Link多款产品存在安全漏洞,该漏洞源于对参数group的错误操作会导致操作系统命令注入。以下产品及版本受到影响:D-Link DNS-320、DNS-320LW、DNS-325和DNS-340L 20241028版本及之前版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-10915 的公开POC
# POC 描述 源链接 神龙链接
1 A vulnerability was found in D-Link DNS-320, DNS-320LW, DNS-325 and DNS-340L up to 20241028. It has been rated as critical. Affected by this issue is the function cgi_user_add of the file /cgi-bin/account_mgr.cgi?cmd=cgi_user_add. The manipulation of the argument group leads to os command injection. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-10915.yaml POC详情
三、漏洞 CVE-2024-10915 的情报信息

  • 标题: Command Injection Vulnerability in `group` parameter for D-Link NAS -- 🔗来源链接

    标签: exploit

    神龙速读
    Command Injection Vulnerability in `group` parameter for D-Link NAS

  • 标题: Smart Home, SMB and Enterprise solutions | D-Link -- 🔗来源链接

    标签: product

    Smart Home, SMB and Enterprise solutions | D-Link

  • 标题: CVE-2024-10915 D-Link DNS-320/DNS-320LW/DNS-325/DNS-340L account_mgr.cgi cgi_user_add os command injection -- 🔗来源链接

    标签: signature permissions-required

    神龙速读
    CVE-2024-10915 D-Link DNS-320/DNS-320LW/DNS-325/DNS-340L account_mgr.cgi cgi_user_add os command injection

  • 标题: CVE-2024-10915 D-Link DNS-320/DNS-320LW/DNS-325/DNS-340L account_mgr.cgi cgi_user_add os command injection -- 🔗来源链接

    标签: vdb-entry technical-description

    神龙速读
    CVE-2024-10915 D-Link DNS-320/DNS-320LW/DNS-325/DNS-340L account_mgr.cgi cgi_user_add os command injection

  • 标题: Submit #432848: D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L Version 1.00, Version 1.01.0914.2012, Version 1.01, Version 1.02, Version 1.08 OS Command Injection -- 🔗来源链接

    标签: third-party-advisory

    神龙速读
    Submit #432848: D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L Version 1.00, Version 1.01.0914.2012, Version 1.01, Version 1.02, Version 1.08 OS Command Injection
  • https://nvd.nist.gov/vuln/detail/CVE-2024-10915