漏洞标题
通过SOAP API中的X-Forwarded-For标头绕过身份验证
漏洞描述信息
在NETGEAR Nighthawk X10-R900的1.0.4.26版本之前,攻击者可以通过在每个请求中提供设备LAN IP地址(192.168.1.1)的恶意X-Forwarded-For头来绕过设备“NETGEAR Genie”SOAP API("/soap/server_sa")的所有身份验证检查。结果,攻击者可以修改设备几乎所有的设置并查看各种配置设置。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
Auth Bypass Via X-Forwarded-For Header in SOAP API
漏洞描述信息
In NETGEAR Nighthawk X10-R900 prior to 1.0.4.26, an attacker may bypass all authentication checks on the device's "NETGEAR Genie" SOAP API ("/soap/server_sa") by supplying a malicious X-Forwarded-For header of the device's LAN IP address (192.168.1.1) in every request. As a result, an attacker may modify almost all of the device's settings and view various configuration settings.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
NETGEAR Nighthawk X10-R9000 授权问题漏洞
漏洞描述信息
NETGEAR Nighthawk X10-R9000是美国网件(NETGEAR)公司的一款无线路由器。 使用1.0.4.26之前版本固件的NETGEAR Nighthawk X10-R9000中存在安全漏洞。攻击者可利用该漏洞绕过身份验证。
CVSS信息
N/A
漏洞类别
授权问题