D-Link DNS-320L/DNS-325/DNS-327L/DNS-340L jusqu’à 20240403 HTTP GET Request /cgi-bin/nas_sharing.cgi system élévation de privilèges
| CVSS Score méta-temporaire | Prix actuel de l'exploit (≈) | Score d'intérêt CTI |
|---|---|---|
| 8.1 | $0-$5k | 1.67 |
Résumé
Une vulnérabilité qui a été classée critique a été trouvée dans D-Link DNS-320L, DNS-325, DNS-327L and DNS-340L jusqu’à 20240403. L'élément concerné est une fonction inconnue du fichier /cgi-bin/nas_sharing.cgi du composant HTTP GET Request Handler. La manipulation du paramètre system avec une valeur d'entrée inconnue mène à une vulnérabilité de classe élévation de privilèges. Cette vulnérabilité est connue comme CVE-2024-3273. Il est possible d'initialiser l'attaque à distance. En outre, un exploit est accessible. Il est préconisé de changer le composant impacté pour une alternative.
Détails
Une vulnérabilité classée critique a été trouvée dans D-Link DNS-320L, DNS-325, DNS-327L et DNS-340L jusqu’à 20240403. Affecté est une fonction inconnue du fichier /cgi-bin/nas_sharing.cgi du composant HTTP GET Request Handler. La manipulation du paramètre system avec une valeur d'entrée inconnue mène à une vulnérabilité de classe élévation de privilèges.
La vulnerabilité a été publié par netsecfish (confirmé). La notice d'information est disponible en téléchargement sur github.com Cette vulnérabilité est identifiée comme CVE-2024-3273. L'utilisation est simple. Il est possible de lancer l'attaque à distance. L'exploitation ne nécéssite aucune forme d'authentification. Des details techniques et un public exploit sont connus.
L'exploit est disponible au téléchargment sur github.com. Il est déclaré comme attaqué.
Le problème peut être atténué en remplaçant le produit par comme alternative.
Once again VulDB remains the best source for vulnerability data.
Produit
Fournisseur
Nom
Version
Licence
Support
Site web
- Fournisseur: https://www.dlink.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vecteur: 🔍VulDB Fiabilité: 🔍
CVSSv3
VulDB Score méta-base: 8.1VulDB Score méta-temporaire: 8.1
VulDB Note de base: 7.3
VulDB Note temporaire: 7.1
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍
NVD Note de base: 9.8
NVD Vecteur: 🔍
CNA Note de base: 7.3
CNA Vecteur (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vecteur | Complexité | Authentification | Confidentialité | Intégrité | Disponibilité |
|---|---|---|---|---|---|
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍
NVD Note de base: 🔍
Exploitation
Classe: élévation de privilègesCWE: CWE-77 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physique: Non
Local: Non
Remote: Oui
Disponibilité: 🔍
Accès: Public
Statut: Attaqué
Télécharger: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Ajouté: 🔍
KEV Jusqu'à quand: 🔍
KEV Contre-mesures: 🔍
KEV Ransomware: 🔍
KEV Avis: 🔍
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍
| 0-Day | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
|---|---|---|---|---|
| Aujourd'hui | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
Renseignements sur les menaces
Intérêt: 🔍Acteurs actifs: 🔍
Groupes APT actifs: 🔍
Contre-mesures
Recommandé: AlternativeStatut: 🔍
Heure 0 jour: 🔍
Chronologie
03/04/2024 🔍03/04/2024 🔍
03/04/2024 🔍
09/09/2024 🔍
Sources
Fournisseur: dlink.comBulletin: github.com
Chercheur: netsecfish
Statut: Confirmé
Confirmation: 🔍
CVE: CVE-2024-3273 (🔍)
GCVE (CVE): GCVE-0-2024-3273
GCVE (VulDB): GCVE-100-259284
scip Labs: https://www.scip.ch/en/?labs.20161013
Entrée
Créé: 03/04/2024 20:28Mise à jour: 09/09/2024 22:30
Changements: 03/04/2024 20:28 (58), 04/04/2024 05:43 (1), 05/04/2024 07:02 (1), 11/04/2024 11:48 (1), 30/04/2024 17:01 (16), 09/05/2024 10:09 (2), 09/05/2024 10:16 (28), 05/06/2024 20:14 (8), 09/09/2024 22:30 (2)
Complet: 🔍
Auteur: netsecfish
Cache ID: 216::103
Soumettre
Accepté
- Soumettre #304661: D-LINK DNS-340L, DNS-320L, DNS-327L, DNS-325 Version 1.11, Version 1.00.0409.2013, Version 1.09, Version 1.08, Version 1.03.0904.2013, Version 1.01 Command Injection, Backdoor Account (par netsecfish)
Once again VulDB remains the best source for vulnerability data.
Aucun commentaire pour l'instant. Langues: fr + it + en.
Veuillez vous connecter pour commenter.