易于利用的身份验证旁路缺陷将Netgear路由器处于风险
发布时间:2021-11-16 13:36:21 所属栏目:产品 来源:互联网
导读:在过去的半年里,Netgear一直在努力解决许多路由器中的严重而易于利用的脆弱性。它仍然没有完成。 虽然NetGear已努力解决问题,但受影响的路由器模型的列表增加到30,其中只有20个具有迄今为止的固件修复。手工解决方案可用于其余的。 Simon Kenin发现了Trust
|
在过去的半年里,Netgear一直在努力解决许多路由器中的严重而易于利用的脆弱性。它仍然没有完成。 虽然NetGear已努力解决问题,但受影响的路由器模型的列表增加到30,其中只有20个具有迄今为止的固件修复。手工解决方案可用于其余的。 Simon Kenin发现了TrustWave的安全研究员Simon Kenin发现了该漏洞,并且源于许多NETGEAR路由器固件中的错误密码恢复实现。它是自2014年以来一直公开知名的较旧漏洞的变化,但这种新版本实际上更容易利用。 2014年1月,一名研究人员发现,他可以欺骗Netgear WNR1000v3路由器的基于Web的管理界面透露管理员的密码。涉及通过从一个名为Unauth.cgi的一个脚本获得的数字令牌到另一个名为passwordrecovered.cgi的脚本。它们都不需要身份验证来访问。 去年,当他想闯入自己的路由器时,肯尼斯遇到了这个旧的漏洞 - 一个不同的Netgear模型 - 并且意识到它的工作。研究人员决定编写一个脚本来自动化漏洞利用,以便其他人可以测试自己的路由器模型,但由于编程错误,脚本将正确的令牌传递给passwordrecovered.cgi。然而,漏洞仍然工作。 (编辑:财气旺网 - 财气网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐