漏洞标题
WF2220中无需身份验证即暴露设备配置
漏洞描述信息
## 漏洞概述
WF2220 设备暴露了 `/cgi-bin-igd/netcore_get.cgi` 端点,该端点向未经授权的用户返回设备配置信息,其中包含明文密码。
## 影响版本
未提供具体影响的版本信息。
## 漏洞细节
攻击者可以通过访问 `/cgi-bin-igd/netcore_get.cgi` 端点来获取设备的配置信息。这些配置信息中包含明文密码,这使得未经授权的用户能够获取敏感信息。
## 影响
此漏洞可能导致未经授权的用户获取设备的明文密码,从而进一步威胁设备的安全性。厂商已联系过但没有响应。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
敏感数据的明文存储
漏洞标题
Exposure of Device Configuration without Authentication in WF2220
漏洞描述信息
WF2220 exposes endpoint /cgi-bin-igd/netcore_get.cgi that returns configuration of the device to unauthorized users. Returned configuration includes cleartext password.
The vendor was contacted early about this disclosure but did not respond in any way.
CVSS信息
N/A
漏洞类别
关键功能的认证机制缺失