一、 漏洞 CVE-2022-41545 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
NETGEAR C7800路由器在运行固件版本6.01.07(以及其他版本可能也存在)时,其管理web界面通过基础认证来验证用户身份,该认证方式使用HTTP头,其中包含了明文用户名和密码的base64值。由于该web服务器默认情况下不使用传输安全措施,因此在客户端通过WLAN或LAN向路由器发起的每一次认证请求中,如果攻击者能够执行中间人攻击,管理凭证将容易受到监听。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
不充分的凭证保护机制
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The administrative web interface of a Netgear C7800 Router running firmware version 6.01.07 (and possibly others) authenticates users via basic authentication, with an HTTP header containing a base64 value of the plaintext username and password. Because the web server also does not utilize transport security by default, this renders the administrative credentials vulnerable to eavesdropping by an adversary during every authenticated request made by a client to the router over a WLAN, or a LAN, should the adversary be able to perform a man-in-the-middle attack.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2022-41545 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2022-41545 的情报信息
-
标题: NETGEAR Product Security | NETGEAR -- 🔗来源链接
标签:
- https://www.netgear.com/images/datasheet/networking/cablemodems/C7800.pdf
-
标题: Full Disclosure: Netgear Router Administrative Web Interface Lacks Transport Encryption By Default -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2022-41545