关键信息 漏洞名称:D-LINK DNS-1550-04 up to 20240814 /CGI-BIN/HD_CONFIG.CGI CGI_FMT_R12R5_2ND_DISKMGR F_SOURCE_DEV COMMAND INJECTION 受影响产品:D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 and DNS-1550-04 up to 20240814 CVSS Meta Temp Score:6.0 当前漏洞价格:$0-$5k CTI Interest Score:1.75 漏洞描述:该漏洞存在于D-Link DNS-120、DNR-202L、DNS-315L、DNS-320、DNS-320L、DNS-320LW、DNS-321、DNR-322L、DNS-323、DNS-325、DNS-326、DNS-327L、DNR-326、DNS-340L、DNS-343、DNS-345、DNS-726-4、DNS-1100-4、DNS-1200-05和DNS-1550-04(截至20240814)的产品中。该漏洞影响了函数cgi_FMT_R12R5_2nd_DiskMGR的文件/cgi-bin/hd_config.cgi。通过将f_source_dev参数与未知输入结合,可以导致命令注入漏洞。使用CWE来描述问题会导致CWE-77。该产品使用外部影响的输入构建命令,但不中和或错误地中和可能修改下游组件的特殊元素。 影响:该漏洞影响了机密性、完整性和可用性。 CVE编号:CVE-2024-8212 漏洞识别:该漏洞的识别是CVE-2024-8212。已知漏洞的利用是容易的。攻击可能通过远程方式发起。技术细节以及已知的公共利用都是已知的。MITRE ATT&CK项目使用攻击技术T1202来描述这个问题。 披露状态:该漏洞已公开披露,且已确认该产品已达到生命末期。建议退役并更换产品。