从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:DDNS data is not encrypted - 描述:DDNS客户端将数据报告给服务器时使用未加密的HTTP,这使得数据容易被截取。任何用户,只要获取到设备的三码信息(MAC、SN、DDNS),就可以修改DDNS域名到任何IP地址。 2. 受影响的产品: - 产品列表:MT6000/A1300/X300B/AX1800/AXT1800/MT2500/MT3000/XE3000/XE300/E750/X750/SFT1200/AR300M/AR300M16/AR750/AR750S/B1300/MT1300/MT300N-V2/AP1300/B2200/MV1000/MV1000W/USB150/SF1200/N300/S1300 3. 受影响的固件版本: - 固件列表: - MT6000: 4.5.8,修复在4.6.2 - A1300/X300B: 4.5.16,修复在4.5.17 - AX1800/AXT1800/MT2500/MT3000: 4.5.16,修复在4.6.2 - X3000/XE3000: 4.4.8,修复在4.4.9 - XE300: 4.3.16,修复在4.3.17 - E750: 4.3.12,修复在4.3.17 - X750/SFT1200/AR300M/AR300M16/AR750/AR750S/B1300/MT1300/MT300N-V2: 4.3.11,修复在4.3.17 - AP1300: 3.217,修复在3.218 - B2200/MV1000/MV1000W/USB150/SF1200/N300/S1300: 3.216,修复在3.218 4. 利用方法: - 步骤: 1. 用户获取设备的三码信息(MAC、SN、DDNS)。 2. 捕获设备的HTTP请求。 3. 使用HTTP客户端工具(如curl)伪造请求。 5. 影响: - 控制DDNS域名后,攻击者可以冒充合法设备或服务,进行钓鱼活动,诱使用户泄露敏感信息或安装恶意软件。