內容說明：

研究人員發現部分舊款D-Link NAS存在使用Hard-coded帳號通行碼漏洞(Use of Hard-Coded Credentials)(CVE-2024-3272)與作業系統指令注入漏洞(OS Command Injection)(CVE-2024-3273)，未經身分鑑別之遠端攻擊者可利用CVE-2024-3272提升至系統權限，或利用CVE-2024-3273執行任意程式碼。受影響之型號皆已停止支援，請儘速確認並進行汰換。

影響平台：

受影響型號如下：

DNS-320L
DNS-325
DNS-327L
DNS-340L

處置建議：

官方已宣布不再支援更新受影響之型號，請儘速確認並進行汰換。

參考資料：

https://nvd.nist.gov/vuln/detail/CVE-2024-3272
https://nvd.nist.gov/vuln/detail/CVE-2024-3273
https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383

新聞來源：https://www.nics.nat.gov.tw/core_business/information_security_information_sharing/Vulnerability_Alert_Announcements/1265/
發布日期：04/17/2024