Synthèse
Une preuve de concept (PoC) est disponible pour la vulnérabilité CVE-2024-10914 présente dans certains modèles de NAS D-Link.
Cette vulnérabilité – avec un score CVSS v3.x de 9,8 – pourrait être utilisée pour exécuter du code arbitraire sur les appareils concernés en envoyant une requête HTTP GET correctement conçue au NAS.
Notes (mise à jour le 14/11/2024) : La vulnérabilité CVE-2024-10914 semble être activement exploitée sur le réseau.
Risque
Impact estimé de la vulnérabilité sur la communauté de référence : GRAVE/ROUGE (77,69/100)1.
Typologie
- Arbitrary Code Execution
Produits et/ou versions concernés
D-Link NAS
- DNS-120
- DNR-202L
- DNS-315L
- DNS-320
- DNS-320L
- DNS-320LW
- DNS-321
- DNR-322L
- DNS-323
- DNS-325
- DNS-326
- DNS-327L
- DNR-326
- DNS-340L
- DNS-343
- DNS-345
- DNS-726-4
- DNS-1100-4
- DNS-1200-05
- DNS-1550-04
Mesures d’atténuation
Veuillez noter que pour les produits vulnérables, le fournisseur ne publiera aucune solution de contournement et/ou correctif, compte tenu de la date de fin de support (EOL) correspondante. Conformément aux déclarations du fournisseur, il est suggéré de migrer les appareils actuellement utilisés vers les appareils pris en charge.
Identificateurs de vulnérabilité uniques
CVE-2024-10914
Références
https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10413
1Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.
