物联网漏洞预警周报3.21~3.25

来源:银弹实验室 2022-03-28 00:23:31


声明

以下内容均摘自互联网,由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,银弹实验室以及文章作者不承担任何责任。

目录

1. IRZ 路由器远程代码执行漏洞

2. TOTOLINK N600R路由器命令注入漏洞

3. Tenda M3路由器命令注入漏洞

漏洞详情

1. IRZ 路由器远程代码执行漏洞

漏洞编号

CVE-2022-27226

漏洞介绍

IRZ Mobile Routers是俄罗斯iRZ公司的一系列移动路由器。 iRZ Mobile Routers 的 /api/crontab 中存在跨站请求伪造漏洞,攻击者可利用该漏洞在路由器管理面板中创建定时任务命令,此定时任务将在攻击者定义的时间间隔内被执行,从而导致远程代码执行,获得文件系统的访问权限。此外,如果路由器的默认密码未更改,或者攻击者获取了有效凭据,那么不需要用户交互就可以完成远程代码执行。

A CSRF issue in /api/crontab on iRZ Mobile Routers through 2022-03-16 allows a threat actor to create a crontab entry in the router administration panel. The cronjob will consequently execute the entry on the threat actor's defined interval, leading to remote code execution, allowing the threat actor to gain filesystem access. In addition, if the router's default credentials aren't rotated or a threat actor discovers valid credentials, remote code execution can be achieved without user interaction.

影响范围

  • IRZ Mobile Router

厂商修复状态

厂商暂没有发布修复补丁

漏洞类型

远程代码执行

漏洞危害

攻击者可以通过创建crontab来远程执行任意命令

漏洞数据来源

NVD,MITRE

漏洞详情链接

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27226

CVE 编号分配日期

2022-03-17

漏洞发布日期

2022-03-19

漏洞信息更新日期

2022-03-22

2. TOTOLINK N600R路由器命令注入漏洞

漏洞编号

CVE-2022-26186

漏洞介绍

TOTOLINK N600R v4.3.0cu.7570_B20200620 中cstecgi.cgi文件中的exportOvpn接口存在命令注入漏洞。

TOTOLINK N600R V4.3.0cu.7570_B20200620 was discovered to contain a command injection vulnerability via the exportOvpn interface at cstecgi.cgi.

影响范围

  • TOTOLINK N600R V4.3.0cu.7570_B20200620

厂商修复状态

厂商暂没有发布修复补丁

漏洞类型

命令注入

漏洞危害

攻击者可以执行任意命令

漏洞数据来源

NVD,MITRE

漏洞详情链接

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26186

CVE 编号分配日期

2022-02-28

漏洞发布日期

2022-03-22

漏洞信息更新日期

2022-03-23

3. Tenda M3路由器命令注入漏洞

漏洞编号

CVE-2022-26289

漏洞介绍

腾达M3 1.10 V1.0.0.12(4856)中的/goform/exeCommand接口存在命令注入漏洞。

Tenda M3 1.10 V1.0.0.12(4856) was discovered to contain a command injection vulnerability via the component /goform/exeCommand.

影响范围

  • Tenda M3 1.10 V1.0.0.12(4856)

厂商修复状态

厂商暂没有发布修复补丁

漏洞类型

命令注入

漏洞危害

攻击者可以执行任意命令

漏洞数据来源

NVD,MITRE

漏洞详情链接

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26289

CVE 编号分配日期

2022-02-28

漏洞发布日期

2022-03-24

漏洞信息更新日期

2022-03-24


返回列表