Cisco WAG120N是一款无线路由器。 Cisco WAG120N的WEB管理接口中的DDNS设置页面存在多处命令注入 漏洞 ,通过在提交的参数(例如Hostname)中插入shell命令,远程攻击者可以执行任意命令并获取root访问权限。
利用这些漏洞需要攻击者首先通过WEB身份认证。
测试方法: 1. 通过WEB身份认证后,访问http:// HdhCmsTest2cto测试数据 /setup.cgi?next_file=Setup_DDNS.htm页面。 2. 向Hostname字段注入]qwe测试数据;cat /etc/passwd> /www/Routercfg.cfg;](该页面上的全部字段都受影响)。 3. 下载 /Routercfg.cfg获取命令执行结果。
查看更多关于Cisco WAG120N多个远程命令执行漏洞 - 网站安全 - 自的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did13209