Milesight是一家知名的物联网和视频监控产品制造商。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
经研判,该漏洞为高危漏洞,源于配置错误,导致路由器系统启用目录列表,使日志文件(如httpd.log)可被公开访问。这些日志文件中包含管理员和其他用户的用户名和密码(加密)等信息,未经身份验证的远程威胁者可通过路由器的Web界面获取这些敏感信息。且JavaScript代码中存在硬编码AES密钥和初始化向量(IV)促进了密码解密。成功利用这一系列漏洞链可能导致获得对路由器的未授权的访问。
UR32:32.2.0.10
UR35:35.2.0.10
UR51:51.3.0.41(最终版本/已停产)
UR52:52.30.41(最终版本/已停产)
UR55:55.30.41(最终版本/已停产)
UR72:72.2.0.81(最终版本/已停产)
UR75:75.2.0.81(最终版本/已停产)
根据影响版本中的信息,建议相关用户尽快更新至安全版本,下载链接请参考:
https://www.milesight.com/
原文始发于微信公众号(嘉诚安全):【漏洞通告】Milesight路由器信息泄露漏洞安全风险通告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论