宏电 H8922 后台存在任意文件读取漏洞,低权限用户通过漏洞可以获取任意文件内容
宏电 H8922
app:"Hongdian H8922 Industrial Router"
登录后台(存在访客用户默认账号密码 guest/guest)
漏洞存在于 log_download.cgi 文件中
使用type参数读取文件并下载日志给用户,使用 ../../ 可以跳转根目录读取任意文件
../../
