CVE-2026-8272D-Link DNS-320 2.06B01版本存在严重的安全缺陷,涉及/cgi-bin/webfile_mgr.cgi文件处理机制。该文件中的delete、rename、copy、move、chmod及chown等关键操作函数未能有效过滤用户输入,导致操作系统命令注入漏洞。尽管利用此漏洞需要高权限认证,但攻击者可远程发起攻击,执行任意系统命令,进而对设备的机密性、完整性和可用性造成威胁。目前相关利用代码已公开,用户需尽快采取防护措施。
该漏洞位于D-Link DNS-320 NAS设备的Web管理接口/cgi-bin/webfile_mgr.cgi中。漏洞根因在于脚本在处理文件管理功能(包括删除、重命名、复制、移动、修改权限及所有者)时,未对用户提供的参数进行严格的输入过滤和转义。由于该CGI程序直接将用户可控的参数拼接到系统命令中并调用底层接口(如popen或system)执行,攻击者可以通过注入特定的Shell元字符(如分号、反引号或管道符)来截断或拼接原有命令。
根据CVSS向量,攻击需要具备高权限(PR:H),这意味着攻击者必须先通过Web界面的身份验证。一旦绕过认证或获得凭证,攻击者即可构造恶意数据包发送至服务器。服务器解析请求后,会以Web服务进程的权限执行注入的命令。虽然CVSS评分仅为4.7(中危),但考虑到NAS设备通常存储重要数据,此漏洞仍具较高风险,可能导致设备被完全控制或数据泄露。