lien d Confirmé qu’aucun correctif ne sera publié Pour plus de 60 000 appareils NAS D-Link vulnérables à une faille critique d’injection de commandes (CVE-2024-10914), qui permet à des attaquants non authentifiés d’exécuter des commandes arbitraires via des requêtes HTTP mal formées. La société de réseau conseille aux utilisateurs d’éteindre ou d’isoler les appareils concernés de l’accès public à Internet. BleepingComputer rapporte : Cette faille affecte plusieurs modèles de périphériques de stockage en réseau (NAS) D-Link couramment utilisés par les petites entreprises : DNS-320 version 1.00 ; DNS-320LW version 1.01.0914.2012 ; DNS-325 version 1.01, version 1.02 ; et DNS-340L version 1.08. (…) Une recherche menée par NetSecFish sur la plateforme FOFA a renvoyé 61 147 résultats sur 41 097 adresses IP uniques pour les appareils D-Link vulnérables à CVE-2024-10914.
un dans bulletin de sécurité Aujourd’hui, D-Link a confirmé qu’aucun correctif n’était prévu pour CVE-2024-10914 et le fournisseur recommande aux utilisateurs de supprimer les produits vulnérables. Si cela n’est pas possible pour le moment, les utilisateurs devraient au moins les isoler de l’Internet public ou les soumettre à des conditions d’accès strictes. Le même chercheur a découvert une faille d’injection de commandes arbitraires et une faille de porte dérobée codée en dur en avril de cette année, identifiée comme CVE-2024-3273, qui affecte principalement les mêmes modèles de NAS D-Link que la dernière faille.
