漏洞标题
WF2220更改设备配置时缺少身份验证
漏洞描述信息
## 漏洞概述
设备配置更改使用的 `/cgi-bin-igd/netcore_set.cgi` 端点无需认证即可访问。这导致了严重的安全威胁,可能会致使管理员账户劫持或修改访问点密码。
## 影响版本
未指定具体版本。
## 漏洞细节
该漏洞在于用于更改设备配置的 `/cgi-bin-igd/netcore_set.cgi` 端点无需认证即可访问。攻击者利用此漏洞可以进行管理员账户劫持或更改AP密码等操作。
## 影响
此漏洞对设备的安全性造成严重影响,可能导致未经授权的设备配置修改,进而引发数据泄露或设备被非法控制的风险。供应商已被告知此漏洞但未作出回应。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
关键功能的认证机制缺失
漏洞标题
Missing Authentication for Changing Device Configuration in WF2220
漏洞描述信息
Endpoint /cgi-bin-igd/netcore_set.cgi which is used for changing device configuration is accessible without authentication. This poses a significant security threat allowing for e.g: administrator account hijacking or AP password changing.
The vendor was contacted early about this disclosure but did not respond in any way.
CVSS信息
N/A
漏洞类别
关键功能的认证机制缺失