Identificada como CVE-2024-10914, a falha crítica foi descoberta em dispositivos de armazenamento NAS da D-Link, ameaçando mais de 61.000 sistemas ao redor do mundo. Esse problema, classificado como uma falha de injeção de comando, afeta o script account_mgr.cgi desses dispositivos e permite que atacantes remotos não autenticados executem comandos arbitrários, bastando que enviem requisições HTTP GET manipuladas. Com uma pontuação CVSSv4 de 9,2, essa vulnerabilidade é considerada de alta severidade e afeta alguns dos modelos de NAS mais utilizados, como DNS-320, DNS-320LW, DNS-325 e DNS-340L.

A falha está especificamente no parâmetro *name* do comando *cgi_user_add* dentro do script *account_mgr.cgi*. A falta de uma sanitização adequada das entradas permite que comandos maliciosos sejam injetados nesse parâmetro, possibilitando que um invasor execute instruções arbitrárias sem qualquer autenticação. Entre os modelos vulneráveis estão o DNS-320 (versão 1.00), DNS-320LW (versão 1.01.0914.2012), DNS-325 (versões 1.01 e 1.02) e DNS-340L (versão 1.08), dispositivos comumente utilizados para armazenamento de dados pessoais e em pequenas empresas.

Isso significa que informações sensíveis, incluindo arquivos de negócios, podem estar em risco caso a vulnerabilidade seja explorada. A exploração dessa falha pode ser realizada enviando uma requisição HTTP GET formatada para o endereço IP do dispositivo NAS. Um exemplo de exploit possível utiliza o comando *curl*, que permite injetar um comando de shell no parâmetro *name*, desencadeando a execução não intencional desse comando no sistema afetado.