DD-WRT Information Disclosure Vulnerability

漏洞描述

远程用户可以获取DD-wrt路由器和内网的敏感信息,包括Ip地址,Mac地址,主机名,可据此定位。即便没有开远程访问也可触发。

影响设备

DD-WRT 固件

v24-preSP2 build 14896

v24-preSP2 build 14311

以及其他可能版本

漏洞描述

路由器web管理页面默认为enabled(其他为disabled和密码访问),允许非授权用户访问敏感信息

可将配置项修改为disabled

然而,非授权用户依然可以访问/Info.live.htm页面得到敏感信息

潜在攻击风险

/Info.live.htm页面的非授权访问

DNS重绑定攻击

漏洞影响

敏感信息泄露

根据MAC地址泄露目标地理位置

修复建议

将页面配置修改为 — 密码保护

参考资料

您可能还喜欢...