Asmax Ar-804gu路由器Web管理控制台任意Shell命令注入漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-06-08
Asmax Ar-804gu路由器Web管理控制台任意Shell命令注入漏洞 受影响系统: 
Asmax Ar-804gu Router 66.34.1 
描述: 
-------------------------------------------------------------------------------- 
BUGTRAQ  ID: 35153 

Asmax Ar-804gu是SOHO级的路由器设备,提供了ADSL、WiFi和Ethernet接口。 

Asmax Ar-804gu路由器web管理界面的/cgi-bin/目录下存在一个名为script的维护脚本,LAN中用户对该脚本的访问没有受到任何限制。如果远程安全者提交了带有system参数的恶意请求的话,就可以导致注入任意shell命令。 

<*来源:Michal Sajdak (michal.sajdak@securitum.pl) 
  
  链接:http://www.securitum.pl/dh/asmax-ar-804-gu-compromise 
        http://seclists.org/bugtraq/2009/Jun/0009.html 
*> 

测试方法: 
-------------------------------------------------------------------------------- 

警 告 

以下程序(方法)可能带有安全性,仅供安全研究与教学之用。使用者风险自负! 

http://www.example.com/cgi-bin/script?system%20whoami 

建议: 
-------------------------------------------------------------------------------- 
厂商补丁: 

Asmax 
----- 
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: 

http://www.asmax.pl/ 

上一篇:LogMeIn中cfgadvanced.html页面的HTTP头注入漏洞
下一篇:Linksys WAG54G2 Web管理控制台远程Shell命令注入漏洞

最近更新

随机推荐