重要情報 脆弱性名称:D-LINK DNS-1550-04 20240814以前のバージョン /CGI-BIN/HD_CONFIG.CGI の CGI_FMT_R12R5_2ND_DISKMGR F_SOURCE_DEV コマンドインジェクション 影響を受ける製品:D-Link DNS-120、DNR-202L、DNS-315L、DNS-320、DNS-320L、DNS-320LW、DNS-321、DNR-322L、DNS-323、DNS-325、DNS-326、DNS-327L、DNR-326、DNS-340L、DNS-343、DNS-345、DNS-726-4、DNS-1100-4、DNS-1200-05、DNS-1550-04(20240814以前のバージョン) CVSS Meta Tempスコア:6.0 現在の脆弱性価格:0〜5,000米ドル CTI関心度スコア:1.75 脆弱性の説明:本脆弱性は、D-Link DNS-120、DNR-202L、DNS-315L、DNS-320、DNS-320L、DNS-320LW、DNS-321、DNR-322L、DNS-323、DNS-325、DNS-326、DNS-327L、DNR-326、DNS-340L、DNS-343、DNS-345、DNS-726-4、DNS-1100-4、DNS-1200-05、DNS-1550-04(20240814以前のバージョン)に影響します。この脆弱性は ファイルの 関数に関連しています。 パラメータに未知の入力を組み合わせることで、コマンドインジェクションが引き起こされます。この問題は CWE-77 として分類されます。本製品は外部から制御される入力を使用してコマンドを構築しますが、ダウンストリームのコンポーネントを変更する可能性のある特殊な文字が正しく無効化またはエスケープされていないため、脆弱性が生じています。 影響:本脆弱性は機密性、完全性、可用性のすべてに影響を与えます。 CVE番号:CVE-2024-8212 脆弱性の識別:本脆弱性は CVE-2024-8212 として識別されています。この既知の脆弱性の利用は容易であり、攻撃は遠隔から実行可能です。技術的詳細や既知の公開されている攻撃手法はすべて把握されています。MITRE ATT&CK プロジェクトでは、この問題は攻撃技術 T1202 として記載されています。 開示ステータス:本脆弱性は公に開示されており、対象製品がライフサイクルの終了(EOL)に達していることが確認されています。製品の退役と交換を推奨します。