D-Link NAS设备 account_mgr.cgi 未授权RCE漏洞复现(CVE-2024-10914)

0x01 产品简介

D-Link NAS设备是一种基于网络的存储解决方案，作为网络存储设备，旨在为企业提供大容量的存储空间，并通过网络连接实现数据的访问和管理。这种设备不仅满足了企业对数据存储的需求，还提供了高效的数据共享和访问功能，提升了企业数据管理的效率和灵活性。广泛应用于各种企业场景，如文档存储、图片和视频存储、数据库备份等。特别是在需要高效数据共享和访问的企业环境中，如设计工作室、广告公司、医疗机构等，D-Link NAS设备更是发挥了其强大的功能和优势。

0x02 漏洞概述

D-Link NAS 设备中发现一个关键漏洞（CVE-2024-10914），对全球 61,000 多个系统构成严重威胁。该漏洞是 `account_mgr.cgi` 脚本中的命令注入漏洞，允许远程攻击者通过特制的 HTTP GET 请求执行任意命令。此问题影响多个 D-Link NAS 型号，包括 DNS-320、DNS-320LW、DNS-325 和 DNS-340L，CVSSv4 得分为 9.2，表明严重程度较高。该漏洞主要影响 `account_mgr.cgi` 脚本的 `cgi_user_add` 命令中的 `name` 参数。由于输入验证过滤不充分，注入`name`参数的恶意命令可导致未经授权的命令执行。使攻击者无需身份验证即可访问。

0x03 影响范围

DNS-320 – 版本 1.0