D-Link DNS-320 操作系统命令注入漏洞 CVE-2026-8273 允许远程攻击

执行摘要

在运行固件版本2.06B01的D-Link DNS-320网络附加存储（NAS）设备中，披露了一个远程操作系统命令注入漏洞，跟踪编号为CVE-2026-8273，CVSS得分为5.8。该漏洞存在于/cgi-bin/system_mgr.cgi CGI二进制文件中，影响包括cgi_set_host、cgi_set_ntp、cgi_fan_control和cgi_merge_user在内的多个处理函数。未经身份验证的攻击者可以远程利用这个弱点注入任意操作系统命令。截至本文撰写时，D-Link尚未发布补丁，该设备可能已经生命周期结束（EOL），使用户面临有限的补救选项。

技术分析

根据安全研究员dxz0069在GitHub上发布的披露信息，该漏洞源于传递给system_mgr.cgi内多个CGI端点的用户输入数据的不充分清理。受影响的函数——cgi_set_host、cgi_set_ntp、cgi_fan_control和cgi_merge_user——接受的参数随后用于操作系统级别的调用，而没有进行适当的验证或转义。

攻击者可以针对这些CGI处理程序中的任何一个，精心构造恶意HTTP请求，在参数值中嵌入分号、管道符或反引号等shell元字符。当CGI脚本处理请求时，未经清理的输入被拼接成命令字符串，由底层系统执行。这使攻击者能够以Web服务器进程的权限运行任意命令，通常是嵌入式Linux基础NAS设备上的root。

研究员的概念验证表明，攻击面广泛：同一个二进制文件暴露了多个入口点，每个入口点都可以用来实现命令注入。CVSS 5.8的评级反映了中等严重性，因为攻击复杂度低（无需身份验证）和基于网络的攻击向量，但由于利用本身不会改变设备的安全状态，除了命令执行本身之外——尽管在实践中，root级访问可能导致完全设备泄露、数据泄露或将设备用作网络内的跳转点，因此影响有限。

需要注意的是，D-Link DNS-320是一款较早的NAS型号，最早发布于2012年左右。D-Link历史上将其许多较旧产品归类为生命周期结束（EOL）或支持结束（EOS），这意味着不提供固件更新。披露没有指明是否已联系D-Link或是否有计划发布补丁。鉴于设备的年代，很可能CVE-2026-8273将保持未修补状态。

缓解措施与建议

由于D-Link可能将DNS-320视为生命周期结束，因此预计不会有官方固件更新。防御者和用户应将该设备视为不可信。最有效的缓解措施是将DNS-320从任何网络断开，并用支持的NAS设备替换。如果替换不可立即实现，以下步骤可以降低风险：

• 将设备隔离在专用VLAN上，设置严格的防火墙规则，阻止来自不可信网络（包括互联网）的入站HTTP流量。CGI端点仅在绝对必要时才应从管理工作站访问。
• 如果设备可以通过其他方式管理（例如，SMB/CIFS共享或本地控制台），则完全禁用Web管理界面。
• 监控来自NAS IP地址的异常出站连接，这可能表明成功利用和命令与控制活动。
• 通过网络入侵预防系统（IPS）或Web应用防火墙（WAF）应用虚拟补丁，可以阻止包含受影响CGI参数中shell元字符的请求。

用户应假设任何暴露在互联网上的D-Link DNS-320已经被泄露，并应相应对待。