Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2018-01054
- Vendor: 合勤科技股份有限公司
- Title: Zyxel 設備 auth bypass 等多個漏洞
- Introduction: 免驗證直接存取所有功能、Path Traversal
- 感謝函
處理狀態
目前狀態
公開
Last Update : 2018/09/30
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2018/07/31 19:22:33 : 新提交 (由 /dev/hans 更新此狀態)
- 2018/07/31 19:26:06 : 新提交 (由 /dev/hans 更新此狀態)
- 2018/07/31 19:27:37 : 新提交 (由 /dev/hans 更新此狀態)
- 2018/07/31 19:41:22 : 新提交 (由 /dev/hans 更新此狀態)
- 2018/07/31 22:55:40 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/08/02 11:23:06 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/08/02 11:23:06 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/08/02 12:17:07 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/09/26 17:58:45 : 已修補 (由 組織帳號 更新此狀態)
- 2018/09/30 03:00:04 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2018-01054
- 通報者:hans00 (/dev/hans)
- 風險:高
- 類型:其他 (Other)
參考資料
暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
目前已知:
Zyxel WAH7706
Zyxel LTE4506
Zyxel WAH7706
Zyxel LTE4506
敘述
直接對背後的 /cgi-bin/gui.cgi
存取。
如圖以帳號資訊爲例,送出 {"action": "get_system_user_info"}
即可取得明文密碼(從版本 V1.00 (ABBC.7)C0
到 V1.00 (ABBC.9)C0
皆未改過密碼)
若在較新版本改過密碼,密碼欄位則是 hash
所有 action 皆是如此。
備份檔( /download/profile_backup.zip
)也是不需授權直接下載。
且於韌體檔案中可以找到 zip 寫死密碼、備份檔 zip 內可以包含任何檔案。
set_system_profile_save 這個 action 存在任意目錄漏洞。
修補建議
使用更安全的驗證機制而非前端驗證,如 login session。
參數不要只用前端限制,後端程式也要。
備份檔下載點必須是驗證授權成功的使用者。
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。