D-Link DNS-320L/DNS-325/DNS-327L/DNS-340L HTTP GET Request nas_sharing.cgi command injection

Los dispositivos D-Link NAS contienen una vulnerabilidad de inyección de comandos en su interfaz web que permite a los atacantes ejecutar comandos arbitrarios de forma remota mediante solicitudes HTTP especialmente preparadas. Esto afecta modelos no soportados y podría otorgar al atacante control total del dispositivo.

Existe una vulnerabilidad de inyección de comandos en el endpoint /cgi-bin/nas_sharing.cgi donde el parámetro 'system' en solicitudes HTTP GET no se sanitiza adecuadamente, permitiendo la ejecución remota de código sin autenticación. La vulnerabilidad afecta a los modelos D-Link DNS-320L, DNS-325, DNS-327L y DNS-340L hasta la versión de firmware 20240403; la explotación requiere acceso de red a la interfaz web del dispositivo.