以下内容均摘自互联网,由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,银弹实验室以及文章作者不承担任何责任。
1. USR IOT 4G LTE 工业蜂窝VPN路由器信息泄露漏洞
2. Tenda HG6 路由器命令注入漏洞
3. D-Link DIR-890L 路由器远程代码执行漏洞
1. USR IOT 4G LTE 工业蜂窝VPN路由器信息泄露漏洞
漏洞编号:
CVE-2022-29730
漏洞介绍:
发现USR IOT 4G LTE工业蜂窝VPN路由器v1.0.36包含其最高特权帐户的硬编码凭据。无法通过设备的正常操作更改凭据。
USR IOT 4G LTE Industrial Cellular VPN Router v1.0.36 was discovered to contain hard-coded credentials for its highest privileged account. The credentials cannot be altered through normal operation of the device.
影响范围:
1.0.36 (USR-G800V2, USR-G806, USR-G807, USR-G808)
1.2.7 (USR-LG220-L)
厂商修复状态:
厂商暂没有发布修复补丁
漏洞类型:
敏感信息泄露漏洞
漏洞危害:
攻击者可以利用泄露的信息造成权限绕过,DOS攻击以及代码执行
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29730
CVE 编号分配日期: 2022-04-25
漏洞发布日期: 2022-06-02
漏洞信息更新日期: 2022-06-02
2. Tenda HG6 路由器命令注入漏洞
漏洞编号:
CVE-2022-30425
漏洞介绍:
Tenda Technology Co.,Ltd HG6 3.3.0-210926被发现pingAddr和traceAddr参数中包含命令注入漏洞。此漏洞可通过精心编制的POST请求进行攻击。
Tenda Technology Co.,Ltd HG6 3.3.0-210926 was discovered to contain a command injection vulnerability via the pingAddr and traceAddr parameters. This vulnerability is exploited via a crafted POST request.
影响范围:
Firmware version: 3.3.0-210926
Software version: v1.1.0
Hardware Version: v1.0
Check Version: TD_HG6_XPON_TDE_ISP
厂商修复状态:
厂商暂没有发布修复方案
漏洞类型:
命令注入漏洞
漏洞危害:
攻击者可以执行任意命令
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-30425
CVE 编号分配日期:2022-05-09
漏洞发布日期:2022-06-03
漏洞信息更新日期:2022-06-03
3. D-Link DIR-890L 路由器远程代码执行漏洞
漏洞编号:
CVE-2022-29778
漏洞介绍:
D-Link DIR-890L 1.20b01允许攻击者执行任意代码,原因是在SetVirtualServerSettings.php中的'descriptor'参数存在Wake-On-Lan硬编码选项。
D-Link DIR-890L 1.20b01 allows attackers to execute arbitrary code due to the hardcoded option Wake-On-Lan for the parameter 'descriptor' at SetVirtualServerSettings.php.
影响范围:
D-Link DIR-890L 1.20b01
厂商修复状态:
厂商暂没有发布修复补丁
漏洞类型:
远程任意代码执行漏洞
漏洞危害:
攻击者可以远程执行任意代码
漏洞数据来源:
NVD,MITRE
漏洞详情链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-CVE-2022-29778
CVE 编号分配日期: 2022-04-25
漏洞发布日期:2022-06-03
漏洞信息更新日期: 2022-06-03
