跳转至

宏电 H8922 后台任意文件读取漏洞 CVE-2021-28152

漏洞描述

宏电 H8922 后台存在任意文件读取漏洞,低权限用户通过漏洞可以获取任意文件内容

漏洞影响

宏电 H8922

网络测绘

app:"Hongdian H8922 Industrial Router"

漏洞复现

登录后台(存在访客用户默认账号密码 guest/guest)

漏洞存在于 log_download.cgi 文件中

img

使用type参数读取文件并下载日志给用户,使用 ../../ 可以跳转根目录读取任意文件

img