重要情報 1. 脆弱性名称: - D-LINK DNS-1550-04 20240814 以前 /CGI-BIN/HD_CONFIG.CGI CGI_FMT_STD2R5_2ND_DISKMGR F_SOURCE_DEV コマンドインジェクション 2. 影響を受ける製品: - D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 および DNS-1550-04(20240814 以前) 3. CVSS メタ一時スコア: - 6.0 4. 現在の脆弱性悪用価格: - $0〜$5k 5. CTI 注目度スコア: - 1.82 6. 脆弱性の説明: - この脆弱性はコマンドインジェクション脆弱性です。影響を受ける関数は で、ファイル に存在します。 パラメータを操作することで不明な入力を注入でき、コマンドインジェクションを引き起こす可能性があります。 7. 影響: - 製品の機密性、完全性、および可用性に影響します。 8. CVE番号: - CVE-2024-8214 9. 脆弱性開示状況: - この脆弱性は公に開示されており、該当製品はライフサイクルの終期に達しています。退役して交換することが推奨されます。 10. GitHubリンク: - github.com 11. 脆弱性悪用の難易度: - 悪用難易度は低く、攻撃はリモートから実行可能です。 まとめ この脆弱性はコマンドインジェクションであり、D-Link の複数モデルに影響を与え、リモートからの攻撃で悪用可能です。CVSSスコアは比較的低いですが、影響範囲と悪用のしやすさを考慮すると、依然として注意が必要です。