漏洞标题
N/A
漏洞描述信息
Hongdian H8922 3.0.5 设备允许目录浏览。/log_download.cgi 日志导出处理程序未验证用户输入,且允许具有最小权限的远程攻击者通过替换../(例如,../../etc/passwd)从设备下载任何文件。这可以通过更改文件名来实现,通过 accordingly 替换为。在访问 log_download.cgi?type=../../etc/passwd 并登录后,服务器将允许下载 /etc/passwd 文件的内容。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Hongdian H8922 3.0.5 devices allow Directory Traversal. The /log_download.cgi log export handler does not validate user input and allows a remote attacker with minimal privileges to download any file from the device by substituting ../ (e.g., ../../etc/passwd) This can be carried out with a web browser by changing the file name accordingly. Upon visiting log_download.cgi?type=../../etc/passwd and logging in, the web server will allow a download of the contents of the /etc/passwd file.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Hongdian H8922 路径遍历漏洞
漏洞描述信息
Hongdian H8922是中国Hongdian公司的一个路由器。 Hongdian H8922 3.0.5 devices存在路径遍历漏洞。该漏洞允许远程攻击者以最小的权限从设备下载任何文件。
CVSS信息
N/A
漏洞类别
路径遍历