| CVE-2005-2419 |
|
发布时间 :2005-08-03 00:00:00 |
| 修订时间 :2016-10-17 23:26:52 |
| NMCO |
|
|
[原文]B-FOCuS Router 312+ allows remote attackers to bypass authentication and gain unauthorized access via a direct request to firmwarecfg.
[CNNVD]ECI Telecom B-FOCuS Router 312+非授权访问漏洞(CNNVD-200508-048)
B-FOCuS Router 312+路由器可为用户提供可靠、安全的ADSL2+连接。
B-FOCuS Router对网页的访问控制存在漏洞,远程攻击者可以利用此漏洞非授权访问设备。
默认下可以通过HTTP使用eci路由器的管理界面,这个界面受到登录屏幕的保护。但攻击者可以通过访问未受保护cgi-bin目录中的firmwarecfg页面轻易的绕过登录屏幕,下载路由器的当前设置,包括明文的连接口令和管理口令。这样攻击者就可以完全控制受影响的设备。
-
CVSS (基础分值)
| CVSS分值: |
7.5 |
[严重(HIGH)] |
| 机密性影响: |
|
[--] |
| 完整性影响: |
|
[--] |
| 可用性影响: |
|
[--] |
| 攻击复杂度: |
|
[--] |
| 攻击向量: |
|
[--] |
| 身份认证: |
|
[--] |
-
CPE (受影响的平台与产品)
-
OVAL (用于检测的技术细节)
-
官方数据库链接
-
其它链接及资源
-
漏洞信息
|
ECI Telecom B-FOCuS Router 312+非授权访问漏洞 |
| 高危 |
访问验证错误 |
| 2005-08-03 00:00:00 |
2005-10-20 00:00:00 |
| 远程 |
|
|
B-FOCuS Router 312+路由器可为用户提供可靠、安全的ADSL2+连接。
B-FOCuS Router对网页的访问控制存在漏洞,远程攻击者可以利用此漏洞非授权访问设备。
默认下可以通过HTTP使用eci路由器的管理界面,这个界面受到登录屏幕的保护。但攻击者可以通过访问未受保护cgi-bin目录中的firmwarecfg页面轻易的绕过登录屏幕,下载路由器的当前设置,包括明文的连接口令和管理口令。这样攻击者就可以完全控制受影响的设备。 |
-
公告与补丁
-
漏洞信息
|
18268 |
|
ECI B-FOCuS Router firmwarecfg Cleartext Admin Password Disclosure |
|
|
Cryptographic,
Information Disclosure |
| Loss of Confidentiality |
|
|
|
-
漏洞描述
-
时间线
|
2005-07-24 |
Unknow |
| 2005-07-24 |
Unknow |
-
解决方案
-
相关参考
-
漏洞作者
Try not to become a man of success but rather try to become a man of value.