信息來源:hackernews
近日����,德國高端家電廠商美諾( Miele )生產的 Professional PG 8528 設備被曝存在 Web 服務器目錄遍歷漏洞�,允許攻擊者未經身份驗證即可訪問 Web 服務器任何目錄�����,漏洞編號為 CVE-2017-7240 。
美諾 Professional PG 8528 是一款用于消毒實驗室與手術器械的醫(yī)療設備����。這款設備所采用的嵌入式 Web 服務器PST10 WebServer 主要監(jiān)聽 80 端口,容易遭受目錄遍歷攻擊����。非法入侵者可利用該漏洞在 Web 服務器上添加并執(zhí)行惡意代碼以訪問敏感信息。
據悉,該漏洞由在德國咨詢公司 Schneider & Wulf 任職的 Jens Regel 發(fā)現并曾于 2016 年 12 月向美諾提交報告����。遺憾的是,對于他的此番舉動��,廠商并未給予任何回應�����。四個月后��,他決定公開披露該漏洞的概念證明( PoC )����,希望引起廠商的足夠重視。
Proof of Concept:
=================
~$ telnet 192.168.0.1 80
Trying 192.168.0.1…
Connected to 192.168.0.1.
Escape character ist ‘^]’.
GET /../../../../../../../../../../../../etc/shadow HTTP/1.1 to whatever IP the dishwasher has on the LAN.
原作者:Pierluigi Paganini�����, 譯者:青楚 校對:Liuf
本文由 HackerNews.cc 翻譯整理�����,封面來源于網絡����。
轉載請注明“轉自 HackerNews.cc ” 并附上原文鏈接
