CVE-2024-3273|D-Link NAS设备存在后门帐户(POC)
CVE-2024-3273|D-Link NAS设备存在后门帐户(POC)
信安百科
发布于 2024-04-15 16:03:27
发布于 2024-04-15 16:03:27
0x00 前言
D-Link DNS-323是D-Link(友讯网络)网络存储产品线的一款产品,IP-SAN和NAS产品两大类,针对小企业以及家庭用户推出的网络存储,产品使得用户体验到企业级技术的“平民化”的应用,NAS网络存储拥有易管理、易操作的特点使得符合当今小企业的特点。
0x01 漏洞描述
漏洞位于nas_sharing.cgi中,通过硬编码凭据和系统参数进行命令注入。
网络请求包括用户名参数(user=messagebus)和密码为空(passwd=)。这个技巧允许攻击者绕过身份验证。通过在HTTP GET请求中向system参数添加一个base64编码的命令来实现命令注入。
0x02 CVE编号
CVE-2024-3273
0x03 影响版本
D-Link DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
D-Link DNS-325 Version 1.01
D-Link DNS-327L Version 1.09, Version 1.00.0409.2013
D-Link DNS-340L Version 1.080x04 漏洞详情
https://github.com/Chocapikk/CVE-2024-3273
0x05 参考链接
https://github.com/Chocapikk/CVE-2024-3273
本文参与?腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2024-04-08,如有侵权请联系?cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
相关产品与服务
对象存储
对象存储(Cloud Object Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。腾讯云 COS 的存储桶空间无容量上限,无需分区管理,适用于 CDN 数据分发、数据万象处理或大数据计算与分析的数据湖等多种场景。