关键漏洞信息 标题: Prisma Industriale Checkweigher PrismaWEB 1.21 Authentication Bypass 建议ID: ZSL-2018-5453 类型: 本地/远程 影响: DoS, 安全绕过, 系统访问 风险: 5/5 发布日期: 10.03.2018 摘要 Web机器管理 描述 该漏洞存在是因为硬编码的凭据泄露,允许攻击者有效绕过具有管理员权限的PrismaWEB身份验证。这些凭据可以通过简单地导航到包含用户名和密码的用于管理界面的脚本函数进行泄露,这些脚本函数正在使用“login.js”JavaScript页面和“/scripts/functions_cookie.js”中的Login()函数。 影响版本 1.0 (Rev 21, EPROM 202FWSAM??) 测试于 HMS AnyBus-S WebServer 供应商状态 06.02.2018: 漏洞发现 19.02.2018: 联系供应商 09.02.2018: 供应商未回复 10.03.2018: 公共安全公告发布 PrismaWeb身份验证测试 prismaweb_auth.txt 参考文献 1. https://exchange.xforce.ibmcloud.com/vulnerabilities/140264 2. https://packetstormsecurity.com/files/146726 3. https://cxsecurity.com/issue/WLB-2018030101 4. https://www.exploit-db.com/exploits/44276/ 5. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9161 6. https://nvd.nist.gov/vuln/detail/CVE-2018-9161 更改日志 10.03.2018: 初始发布 16.03.2018: 添加引用[1]、[2]、[3]和[4] 19.04.2018: 添加引用[5]和[6]