发布日期：2009-12-03
更新日期：2009-12-07

受影响系统：

Huawei MT882 3.7.9.98

描述：

---

BUGTRAQ  ID: 37194
CVE ID: CVE-2009-4196,CVE-2009-4197

华为MT882l是一款小型的ADSL调制解调器。

MT882l猫的Forms/中的多个脚本没有正确地过滤用户所提交的参数请求，远程攻击者可以通过向error_1、fresh_pppoe_1、rpDiag_argen_1、rpNATdmz_argen_1、rpNATvirsvr_argen_1、rpStatus_argen_1、rpwizard_1、rpwizPppoe_1等页面传送多个特制参数执行跨站脚本攻击；此外rpwizPppoe.htm页面中的一个表单没有禁用自动填充口令参数，物理访问的攻击者可以从支持自动填充的浏览器获得口令。

<*来源：DecodeX01
  
  链接：http://www.exploit-db.com/exploits/10276
*>

建议：

---

厂商补丁：

Huawei
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.huawei.com/

浏览次数：2030
严重程度：0（网友投票）