发布日期:2014-10-31
更新日期:2014-11-04
受影响系统:
Linksys EA系列路由器 EA6900
Linksys EA系列路由器 EA6700
Linksys EA系列路由器 EA6500
Linksys EA系列路由器 EA6400
Linksys EA系列路由器 EA6300
Linksys EA系列路由器 EA6200
Linksys EA系列路由器 EA4500
描述:
BUGTRAQ ID: 70864
CVE(CAN) ID: CVE-2014-8244
Linksys是思科系统一个销售家用与小型业务用网络产品的部门。
多个Linksys EA系列路由器存在信息泄露漏洞,网络上未经身份验证的攻击者通过发送构造的HTTP POST请求到http(s)://<router_ip>/JNAP/,可以发出多个JNAP调用,根据所调用的JNAP操作,攻击者可以读取或修改路由器的敏感信息。同时端口100080及52000向WAN用户公开了管理Web接口。
建议:
厂商补丁:
Linksys
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: