VDB-259283 · CVE-2024-3272 · GCVE-100-259283

D-Link DNS-320L/DNS-325/DNS-327L/DNS-340L jusqu’à 20240403 HTTP GET Request /cgi-bin/nas_sharing.cgi Utilisateur authentification faible

CVSS Score méta-temporaire	Prix actuel de l'exploit (≈)	Score d'intérêt CTI
9.7	$0-$5k	0.00

Résuméinformation

Une vulnérabilité classée critique a été trouvée dans D-Link DNS-320L, DNS-325, DNS-327L and DNS-340L jusqu’à 20240403. L'élément affecté est une fonction inconnue du fichier /cgi-bin/nas_sharing.cgi du composant HTTP GET Request Handler. L’utilisation de l’argument Utilisateur avec la valeur d’entrée messagebus aboutit à authentification faible. Cette vulnérabilité est identifiée comme CVE-2024-3272. Il est possible de lancer l'attaque à distance. De plus, un exploit est disponible. Il est conseillé de substituer le composant concerné par une solution alternative.

Détailsinformation

Une vulnérabilité a été trouvé dans D-Link DNS-320L, DNS-325, DNS-327L et DNS-340L jusqu’à 20240403 et classée très critique. Ceci affecte une fonction inconnue du fichier /cgi-bin/nas_sharing.cgi du composant HTTP GET Request Handler. A cause de la manipulation du paramètre user de la valeur d'entrée messagebus mène à une vulnérabilité de classe authentification faible.

La vulnerabilité a été publié par netsecfish (confirmé). La notice d'information est disponible en téléchargement sur github.com Cette vulnérabilité a été nommée CVE-2024-3272. Elle est facilement utilisable. L'attaque peut être initialisée à distance. Aucune forme d'authentification est requise pour l'exploitation. Des details techniques et aussi un public exploit sont connus.

L'exploit est disponible au téléchargment sur github.com. Il est déclaré comme attaqué.

Le problème peut être atténué en remplaçant le produit par comme alternative.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Produitinformation

Fournisseur

D-Link

Nom

Version

20240403

Licence

commercial

Support

end of life

Site web

Fournisseur: https://www.dlink.com/

CPE 2.3information

CPE 2.2information

CVSSv4information

VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍

CVSSv3information

VulDB Score méta-base: 9.8
VulDB Score méta-temporaire: 9.7

VulDB Note de base: 9.8
VulDB Note temporaire: 9.6
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍

NVD Note de base: 9.8
NVD Vecteur: 🔍

CNA Note de base: 9.8
CNA Vecteur (VulDB): 🔍

CVSSv2information

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vecteur	Complexité	Authentification	Confidentialité	Intégrité	Disponibilité
Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller
Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller
Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller

VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍

NVD Note de base: 🔍

Exploitationinformation

Classe: Authentification faible
CWE: CWE-798 / CWE-259 / CWE-255
CAPEC: 🔍
ATT&CK: 🔍

Physique: Non
Local: Non
Remote: Oui

Disponibilité: 🔍
Accès: Public
Statut: Attaqué
Télécharger: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

KEV Ajouté: 🔍
KEV Jusqu'à quand: 🔍
KEV Contre-mesures: 🔍
KEV Ransomware: 🔍
KEV Avis: 🔍

Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍