漏洞起因
设计错误
危险等级
低
影响系统
NetGear WNAP210 2.0.12
不受影响系统
危害
远程攻击者可以利用漏洞未授权获得管理员密码或直接访问设备配置页面。
攻击所需条件
攻击者必须访问NETGEAR WNAP210。
漏洞信息
NETGEAR WNAP210是一款无线路由器设备。
NETGEAR WNAP210包含一个漏洞允许远程未验证攻击者恢复设备的管理员密码。可网络访问设备的攻击者可以浏览WEB页http://NetGearDeviceIP/BackupConfig.php,会提示攻击者无需任意登录验证下载设备配置,此配置以明文方式存储管理员密码。
第二个漏洞允许未验证攻击者绕过设备登录WEB页面,允许攻击者直接访问设备管理WEB页,攻击者可以访问http://NetGearDeviceIP/recreate.php,WEB页会显示"recreateok",下一步攻击者可以浏览WEB页http://NetGearDeviceIP/index.php,允许直接访问配置WEB页。
测试方法
厂商解决方案
目前没有详细解决方案提供:
http://www.netgear.com/
漏洞提供者
Trevor Seward
漏洞消息链接
http://www.kb.cert.org/vuls/id/644812
0 条评论。