D-Link NAS 爆严重命令注入漏洞
多款 D-Link NAS 设备被曝存在严重命令注入漏洞,攻击者无需身份验证即可远程执行任意命令。该漏洞影响互联网上超过61,000台设备,情况危急!
漏洞详情
该漏洞位于 account_mgr.cgi 脚本中 cgi_user_add 命令的 name 参数处理过程。由于缺乏输入校验,攻击者可以通过构造特殊的 HTTP GET 请求,在 name 参数中注入恶意 shell 命令。
受影响设备
- DNS-320 版本 1.00
- DNS-320LW 版本 1.01.0914.2012
- DNS-325 版本 1.01, 1.02
- DNS-340L 版本 1.08
漏洞利用
攻击者只需发送如下格式的 HTTP GET 请求即可利用该漏洞:
curl "http://[Target-IP]/cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27"
修复建议
- 立即更新固件:受影响设备的用户应尽快从 D-Link 官方网站下载并安装最新的固件补丁。
- 限制访问:作为临时措施,应将 NAS 管理界面的网络访问限制在受信任的 IP 地址范围内,以减少攻击面。
严重性
该漏洞非常严重,因为它允许未经身份验证的远程攻击者完全控制受影响的 NAS 设备。攻击者可以窃取数据、安装恶意软件、甚至破坏设备。请所有 D-Link NAS 用户立即检查设备型号和固件版本,并采取必要的措施进行修复。
来源:
netsecfish.notion.site/Command-Inj…
x-cmd 用户可通过 shodan 模块了解详情:
# 根据漏洞 ID 查看漏洞的详细信息
x shodan cve-2024-10914
pic
进一步探索:
NVIDIA App 正式版发布
NVIDIA App 正式版终于来了!这款应用旨在成为所有 NVIDIA GPU 用户的必备辅助工具,无论你是游戏玩家还是内容创作者,都能从中受益。它集成了 GeForce Experience 和 RTX Experience 的众多功能,并进行了全面优化,带来更快速、更便捷的体验。
主要亮点:
- 快速响应: 安装速度比 GeForce Experience 快 50%,UI 更现代化,响应速度也提升了 50%。
- 统一控制中心: 在一个应用内即可管理游戏、程序和驱动设置,无需在多个应用之间切换。
- 重新设计的 NVIDIA 信息浮窗 (Alt+Z): 支持 4K 120 FPS AV1 视频捕捉,提供 AI 驱动的 RTX 游戏滤镜、全新图库以及可定制的统计数据浮窗。
- 简化的驱动管理: 清晰展示驱动更新内容,一键下载安装,并支持回滚到先前版本。
- 一键游戏优化: 继承并改进了 GeForce Experience 的一键优化设置,轻松平衡游戏画质和性能。
- 强大的游戏滤镜: 包括 AI 驱动的 RTX HDR 和 RTX 动态亮丽滤镜,为游戏画面带来更丰富的视觉体验。RTX HDR 甚至能让不支持 HDR 的游戏也能享受 HDR 效果!
- 增强视频体验: 系统页面集成了 RTX 视频超分辨率 (RTX VSR) 和 RTX 高动态范围 (RTX HDR) 功能,提升流媒体和本地视频播放效果。
- 性能调优: 提供一键式 GPU 自动调优,安全地提升帧率,并允许高级用户自定义调优参数。
- GeForce Rewards: 登录 NVIDIA 账号即可领取游戏和应用奖励。
主要功能模块:
- 主页: 访问最近使用的程序、NVIDIA 最新公告和其他 NVIDIA 应用。
- NVIDIA 信息浮窗: 游戏录制、截图、滤镜和性能监控。
- 驱动程序: 下载、安装和管理驱动程序。
- 图形: 优化游戏设置和驱动选项。
- 系统: 配置显示器、启用 G-SYNC、增强视频效果和调优 GPU 性能。
- 兑换: 领取 GeForce Reward。
- 设置: 更改语言、应用选项和通知设置。
NVIDIA App 仍在不断发展,未来将加入更多功能和优化。现在就下载 NVIDIA App,体验更流畅、更强大的游戏和创作体验吧!
来源:
www.nvidia.cn/geforce/new…
更多内容请查阅 : blog-241118
关注微信官方公众号 : oh my x
获取开源软件和 x-cmd 最新用法
