友讯（D-Link）证实不会修复旧型号 NAS 设备的高危漏洞，它称已停止制造 NAS 设备，相关设备都已经终止支持。受影响的型号包括 DNS-320 Version 1.00、DNS-320LW Version 1.01.0914.2012、DNS-325 Version 1.01 和 Version 1.02，以及 DNS-340L Version 1.08。编号为 CVE-2024-10914 的漏洞是一个命令注入漏洞，风险等级 9.2/10，存在于 cgi_user_add 命令中，其 name 参数的数据清洗处理不充分。通过向设备发送特制 HTTP GET 请求，攻击者能利用漏洞注入任意 shell 命令。搜索显示有逾 6 万台联网友讯 NAS 设备受到该漏洞影响。友讯建议退役这些设备或者将其脱离公网。

https://www.bleepingcomputer.com/news/security/d-link-wont-fix-critical-flaw-affecting-60-000-older-nas-devices/