关键信息 漏洞名称 CVE-2025-28170: Grandstream GXP1628 上的不正确访问控制 影响产品 Grandstream GXP1628 VoIP 电话固件版本:<=1.0.4.130 漏洞类型 目录列表 敏感信息泄露 描述 Grandstream GXP1628 VoIP 设备存在目录列表问题。通过访问特定目录(如 , , 和 ),攻击者可以枚举敏感文件并可能获得对内容的未经授权访问。此漏洞可能导致配置文件、日志或其他敏感数据的暴露,这些数据可能被用于进一步的攻击。 复现步骤 1. 导航到设备的 IP 地址并在 URL 后附加 , , 或 。 2. 设备将返回目录列表,显示不应公开访问的文件列表。 3. 列出的文件可以被访问。 示例 影响 对敏感文件的未经授权访问 可能暴露配置或日志数据 可能导致进一步攻击(例如,信息泄露、系统妥协) 缓解措施 在设备的 Web 服务器配置中禁用目录列表。 如果可用,应用 Grandstream 提供的解决此问题的固件更新。(最新固件中知识有限但不存在) 参考 Grandstream 官方固件 - https://www.grandstream.com/support/firmware CVE-2025-28170