D-Link NAS 设备中发现一个关键漏洞，对全球 61,000 多个系统构成严重威胁。该漏洞是 `account_mgr.cgi` 脚本中的命令注入漏洞，允许远程攻击者通过特制的 HTTP GET 请求执行任意命令。此问题影响多个 D-Link NAS 型号，包括 DNS-320、DNS-320LW、DNS-325 和 DNS-340L，CVSSv4 得分为 9.2，表明严重程度较高。 该漏洞主要影响 `account_mgr.cgi` 脚本的 `cgi_user_add` 命令中的 `name` 参数。由于输入消毒不充分，注入`name`参数的恶意命令可导致未经授权的命令执行。正如 NETSECFISH 所强调的，“这个漏洞允许未经身份验证的攻击者通过伪造的 HTTP GET 请求注入任意 shell 命令”，使攻击者无需身份验证即可访问。

应用补丁和更新： 用户应下载并安装 D-Link 提供的任何固件更新。 限制网络访问： 作为临时措施，对 NAS 管理界面的网络访问应仅限于受信任的 IP 地址。 监控固件更新： 受影响的设备用户应密切关注 D-Link 即将提供的任何安全补丁。