A security flaw has been discovered in D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 and DNS-1550-04 up to 20260205. Affected is the function Webdav_Access_List of the file /cgi-bin/file_center.cgi. Performing a manipulation of the argument cmd results in improper access controls. It is possible to initiate the attack remotely. The exploit has been released to the public and may be used for attacks.
A vulnerability in D-Link NAS devices allows remote attackers to bypass access controls through manipulation of the cmd parameter in the WebDAV access list function. The flaw affects multiple DNS and DNR models and could enable unauthorized file access.
تم اكتشاف ثغرة أمنية في وظيفة Webdav_Access_List بملف /cgi-bin/file_center.cgi في أجهزة D-Link NAS المتعددة. يمكن للمهاجمين التلاعب بمعامل cmd لتجاوز عناصر التحكم في الوصول والوصول غير المصرح به إلى الملفات. تم الإفراج عن استغلال الثغرة علناً مما يزيد من خطر الهجمات الفعلية.
ثغرة في أجهزة D-Link NAS تسمح للمهاجمين بتجاوز عناصر التحكم في الوصول عن بعد من خلال التلاعب بمعامل cmd في وظيفة قائمة الوصول إلى WebDAV. تؤثر الثغرة على عدة طرز DNS و DNR وقد تمكن من الوصول غير المصرح به للملفات.
Update affected D-Link NAS devices to firmware version 20260206 or later. Disable WebDAV access if not required. Implement network segmentation to restrict access to NAS devices. Monitor for suspicious WebDAV requests and cmd parameter manipulation attempts.
قم بتحديث أجهزة D-Link NAS المتأثرة إلى إصدار البرنامج الثابت 20260206 أو أحدث. قم بتعطيل الوصول إلى WebDAV إذا لم يكن مطلوباً. قم بتنفيذ تقسيم الشبكة لتقييد الوصول إلى أجهزة NAS. راقب طلبات WebDAV المريبة ومحاولات التلاعب بمعامل cmd.