DD-WRT Information Disclosure Vulnerability
漏洞描述
远程用户可以获取DD-wrt路由器和内网的敏感信息,包括Ip地址,Mac地址,主机名,可据此定位。即便没有开远程访问也可触发。
影响设备
DD-WRT 固件
v24-preSP2 build 14896
v24-preSP2 build 14311
以及其他可能版本
漏洞描述
路由器web管理页面默认为enabled(其他为disabled和密码访问),允许非授权用户访问敏感信息
可将配置项修改为disabled
然而,非授权用户依然可以访问/Info.live.htm页面得到敏感信息
潜在攻击风险
/Info.live.htm页面的非授权访问
DNS重绑定攻击
漏洞影响
敏感信息泄露
根据MAC地址泄露目标地理位置
修复建议
将页面配置修改为 — 密码保护
