发布日期：2009-06-15
更新日期：2009-06-16

受影响系统：

Netgear DG632 3.4.0_ap

描述：

---

BUGTRAQ  ID: 35376
CVE(CAN) ID: CVE-2009-2256,CVE-2009-2257,CVE-2009-2258

NetGear DG632是一个老款的家用ADSL路由器。

Netgear DG632路由器在80端口上运行了一个Web接口，允许管理员登录并管理设备的设置。到这个Web接口的认证是由/cgi-bin/中名为webcm的脚本处理的，该脚本根据用户的认证情况重新定向到相关页面。

webcm脚本处理用户认证并尝试通过以下javascript加载indextop.htm。indextop.htm页面要求执行HTTP基础认证。

---

<script language="javascript" type="text/javascript">
function loadnext() {
//document.forms[0].target.value="top";
document.forms[0].submit();
//top.location.href="../cgi-bin/webcm?nextpage=../html/indextop.htm";
}</script></head>
<body bgcolor="#ffffff" onload="loadnext()" >

Loading file ...
<form method="POST" action="../cgi-bin/webcm" id="uiPostForm">
<input type="hidden" name="nextpage" value="../html/indextop.htm"
id="uiGetNext">
</form>

---

如果提供了默认admin用户的有效用户名，脚本就会继续加载indextop.htm页面并基于隐藏字段加载其他帧；如果用户认证失败，就会返回到"../cgi-bin/webcm"。攻击者可以绕过webcm脚本，无需认证直接访问特定的文件。

正常使用：
http://TARGET_IP/cgi-bin/webcm?nextpage=../html/stattbl.htm

这会要求用户进行认证，如果认证详情未知就会拒绝对这个文件的访问。使用以下URL就可以无需提供任何凭据便访问同一stattbl.htm文件：

http://TARGET_IP/html/stattbl.htm

<*来源：Tom Neaves
  
  链接：http://marc.info/?l=bugtraq&m=124509477727143&w=2
        http://www.milw0rm.com/exploits/8964
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://192.168.0.1/cgi-bin/webcm?nextpage=../html/modemmenu.htm
http://TARGET_IP/cgi-bin/webcm?nextpage=../../

建议：

---

厂商补丁：

Netgear
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.netgear.com/

浏览次数：2671
严重程度：0（网友投票）