D-Link afirma que não corrigirá falha crítica que afeta mais de 60 mil dispositivos NAS antigos

A vulnerabilidade, identificada como CVE-2024-10914 possui uma gravidade de 9,2, e permite que um invasor não autenticado execute comandos arbitrários ao enviar solicitações HTTP GET especialmente manipuladas para os dispositivos, acionando o comando “cgi_user_add” com um parâmetro de nome que inclui uma instrução de shell injetada.

A D-Link recomenda que os usuários substituam os equipamentos vulneráveis. Outras opções incluem isolar os dispositivos da internet pública ou configurar restrições mais rigorosas de acesso. Entre os aparelhos afetados estão os DNS-320 e DNS-340L, que já foram comercializados no Brasil.