发布日期：2008-11-19
更新日期：2008-11-20

受影响系统：

3Com Wireless 8760 Dual-Radio 11a/b/g PoE

描述：

---

BUGTRAQ  ID: 32358

3Com Wireless 8760 Dual-Radio 11a/b/g PoE是适用于各种类型企业的无线接入路由器。

3Com AP 8760的HTTP认证机制如下：

1. 路由器检查用户提交的凭据是否有效。
2. 如果有效，路由器的Web界面将用户重新定向到仅有通过认证的管理用户才可以使用的URL。

每次访问通过认证的URL时，HTTP请求中都没有发送认证数据，包括口令或会话ID，AP只是使用管理员的源IP地址为认证数据。也就是说认证状态只是依赖于攻击者不会知道认证后URL且管理员不会共享相同源IP地址这个假设。只要从相同IP地址（如通过共享相同代理或NAT IP地址）的浏览器访问管理员URL，就可以完全绕过认证检查。

如果向3Com AP 8760路由器提交恶意请求的话，还可能在某些页面中返回敏感数据，包括管理员口令。

在通过SNMP更改系统名称时，如果对login page等页面注入了跨站脚本负载的话，就可以通过覆盖登录表单的操作属性将管理员口令重新定向到自己的站点。

<*来源：Adrian Pastor （m123303@richmond.ac.uk）
  
  链接：http://marc.info/?l=bugtraq&m=122712502118280&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://<target_IP>/advanced.htm
http://<target_IP>/s_brief.htm
http://<target_IP>/s.htm
snmpset -v2c -c private 192.168.1.1 sysName.0 s "PAYLOAD_GOES_HERE"

建议：

---

厂商补丁：

3Com
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.3com.com

浏览次数：3031
严重程度：0（网友投票）