漏洞起因
设计错误
危险等级
低
影响系统
Toshiba e-STUDIO455
Toshiba e-STUDIO305
不受影响系统
危害
远程攻击者可以利用漏洞获得密码信息。
攻击所需条件
攻击者必须访问Toshiba e-STUDIO。
漏洞信息
Toshiba e-STUDIO是东芝公司推出的一体机。
从各种配置页面的HTML源代码中可获得密码信息,如:
http://IP Address/TopAccess/Administrator/Setup/ScanToFile/List.htm
<td nowrap””>
Password
<input ID=”Password3″ type=”password” value=”Password1″ onfocus=”
if (this.disable) this.blur();” maxlength=”32″
利用这些密码信息可访问文件服务器,LDAP系统等。
测试方法
厂商解决方案
目前没有详细解决方案提供:
http://www.eid.toshiba.com.au/n_mono_search.asp
漏洞提供者
Deral Heiland PercX
0 条评论。