נקודת תורפה קריטית זוהתה במכשירי D-Link NAS – סיכון אבטחה המהווה סיכון חמור ליותר מ- 61,000 מערכות ברחבי העולם. הפגם – פגיעות של החדרת פקודות בסקריפט `account_mgr.cgi`, מאפשר להאקרים לבצע פקודות שרירותיות באמצעות בקשות HTTP GET בעלות מבנה מיוחד. בעיה זו בעלת רמת חומרה גבוהה משפיעה על מספר דגמי D-Link NAS כולל DNS-320, DNS-320LW, DNS-325 ו- DNS-340L. מודלים אלו משמשים בדרך כלל לאחסון נתונים אישיים ונמצאים בשימוש עסקים קטנים, כך שמידע רגיש עלול להיות בסיכון.
הפגיעות משפיעה באופן ספציפי על פרמטר `name` בתוך הפקודה `cgi_user_add` של הסקריפט `account_mgr.cgi`. עקב ניקוי קלט בלתי מספק, פקודות זדוניות המוזרקות לפרמטר 'name' עלולות להוביל לביצוע מרוחק של פקודות ללא הרשאה. כפי שהדגישו NETSECFISH: "פגם זה מאפשר להאקרים להחדיר פקודות מעטפת שרירותיות באמצעות בקשות HTTP GET ללא צורך באימות."
כדי לצמצם את פגיעות האבטחה הזו מציעים NETSECFISH מספר צעדים מיידיים: החלת תיקונים ועדכונים – על המשתמשים להוריד ולהתקין כל עדכוני קושחה שסופקו על ידי D-Link; הגבלת גישה לרשת – כאמצעי ביניים, יש להגביל את הגישה לרשת לממשק ניהול ה- NAS לכתובות IP מהימנות בלבד; מעקב אחר עדכוני קושחה – משתמשי מכשירים מושפעים צריכים לגלות עירנות לכל תיקוני האבטחה הצפויים מ- D-Link.
