发布日期:2013-05-28
更新日期:2013-05-30
受影响系统:
TP-LINK IP Cameras <= 1.6.18P12
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 60195
CVE(CAN) ID: CVE-2013-2573
TP-LINK IP Cameras是网络摄像机产品。
TP-LINK IP Cameras 1.6.18P12及更早版本存在命令注入漏洞,远程攻击者可利用受影响产品的硬编码的用户名和密码绕过身份验证(见CVE-2013-2572),再利用此命令注入漏洞从管理员Web界面执行任意命令。
此漏洞源于对/cgi-bin/mft/wireless_mft.cgi文件内的ap参数验证不严。
<*来源:Nahuel Riva
Francisco Falcon
链接:
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
?ap=travesti;cp%20/var/www/secret.passwd%20/web/html/credenciales
建议:
--------------------------------------------------------------------------------
厂商补丁:
TP-LINK
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: