漏洞标题
N/A
漏洞描述信息
RDK RDKB-20181217-1 WebUI模块中的actionHandlerUtility.php文件中的不正确访问控制允许已登录的用户通过向PHP后端发送HTTP POST请求来控制DDNS、QoS、RIP和其他特权配置(仅提供给网络运营商),因为非超级用户(在header.php中)对页面过滤仅针对GET请求,而不是直接的AJAX调用。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Incorrect access control in actionHandlerUtility.php in the RDK RDKB-20181217-1 WebUI module allows a logged in user to control DDNS, QoS, RIP, and other privileged configurations (intended only for the network operator) by sending an HTTP POST to the PHP backend, because the page filtering for non-superuser (in header.php) is done only for GET requests and not for direct AJAX calls.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
RDK WebUI组件访问控制错误漏洞
漏洞描述信息
RDK Management RDK是RDK Management社区的一套模块化、可移植、可定制的开源物联网软件解决方案。 RDK RDKB-20181217-1版本中的WebUI组件的actionHandlerUtility.php文件存在访问控制错误漏洞。攻击者可通过向PHP后端发送HTTP POST请求利用该漏洞控制DDNS、QoS、RIP和其他的特权配置。
CVSS信息
N/A
漏洞类别
授权问题