漏洞概述 标题: 认证代码执行在 Unibox 2.4 CVE ID: 未分配 作者: Kaustubh G. Padwad 厂商: Wi-Fi Soft (https://www.wifi-soft.com/) 产品: 1. Unibox SMB 2. UniBox - Enterprise Series 3. UniBox - Campus Series 测试版本: Unibox U-50 严重性: 关键 建议ID: KSA-Dev-009 影响范围 受影响组件: /tools/ping 攻击类型: 远程 影响代码执行: 是 攻击向量: 一旦受害者打开构造的URL,设备将被入侵 修复方案 缓解措施: 已报告给厂商,但尚未收到回复 披露时间线: - 2020年1月8日: 发现漏洞,并通过联系表单报告 - 2020年1月28日: 厂商通过电话联系 - 2021年1月23日: 请求厂商更新 - 由于未收到进一步沟通,因此根据负责任披露原则进行披露 POC代码 样本输出 其他信息 致谢: - Kaustubh Padwad - 信息安全研究员 - kingkaust_@me.com - https://securitybeat.github.io/ - https://twitter.com/s3curityb3ast - http://breakthese.com - https://www.linkedin.com/in/kaustubhpadwad 来源 通过Full Disclosure邮件列表发送 链接: http://seclists.org/fulldisclosure/