发布日期:2012-11-22
更新日期:2012-11-24受影响系统:
Cisco WAG120N
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 56648Cisco WAG120N是一款无线路由器。Cisco WAG120N的WEB管理接口中的DDNS设置页面存在多处命令注入漏洞,通过在提交的参数(例如Hostname)中插入shell命令,远程攻击者可以执行任意命令并获取root访问权限。利用这些漏洞需要攻击者首先通过WEB身份认证。
<*来源:Manuel Fernández
链接:http://seclists.org/fulldisclosure/2012/Nov/158
*>测试方法:
--------------------------------------------------------------------------------警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!Manuel()提供了如下测试方法:1. 通过WEB身份认证后,访问http://IP/setup.cgi?next_file=Setup_DDNS.htm页面。
2. 向Hostname字段注入"qwe.com;cat /etc/passwd> /www/Routercfg.cfg;"(该页面上的全部字段都受影响)。
3. 下载/Routercfg.cfg获取命令执行结果。建议:
--------------------------------------------------------------------------------
厂商补丁:Cisco
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.cisco.com/WordPress Madebymilk Theme "id"参数SQL注入漏洞lighttpd畸形HTTP Connection域处理拒绝服务漏洞相关资讯 远程命令执行漏洞
- Smartphone Pentest Framework多个 (12/12/2012 09:00:06)
- Webmin /file/show.cgi远程命令执 (10/24/2012 11:53:43)
- Toshiba ConfigFree "CF7"文件远程 (09/25/2012 06:38:48)
| - Narcissus远程命令执行漏洞 (12/04/2012 06:52:44)
- QNX QCONN远程命令执行漏洞 (10/18/2012 06:17:18)
- GIMP远程命令执行漏洞 (08/21/2012 06:33:42)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
|
易网时代-编程资源站