漏洞标题
N/A
漏洞描述信息
DBL DBLTek设备上的Web服务器允许远程攻击者通过一个frame.html?content=/dev/mtdblock/5请求获取管理员密码,然后使用此密码进行HTTP Basic Authentication,以更改_password.csp请求所需的基本身份验证,该请求支持passwd参数中的“<%%25call system.exec:</%%25>”字符串。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The web server on DBL DBLTek devices allows remote attackers to execute arbitrary OS commands by obtaining the admin password via a frame.html?content=/dev/mtdblock/5 request, and then using this password for the HTTP Basic Authentication needed for a change_password.csp request, which supports a "<%%25call system.exec:" string in the passwd parameter.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
DBL DBLTek设备Web服务器安全漏洞
漏洞描述信息
DBL DBLTek devices是中国得伯乐(DBL)公司的一款网关产品。web server是其中的一个Web服务器。 DBL DBLTek设备上的Web服务器存在安全漏洞。远程攻击者可通过获取管理员密码并在HTTP Basic Authentication中使用该密码利用该漏洞执行任意的操作系统命令。
CVSS信息
N/A
漏洞类别
授权问题