Компьютер для продвинутых пользоватлей Выпус по безопасности. Ошибка в SpeedTouch.
Компьютер для продвинутых
пользователей
Содержание:
SpeedTouch
ПО: SpeedTouch
Версия: 5.3.2.6.0
Уязвимость:
Обнаружена уязвимость в SpeedTouch modems, которая позволяет применить
пользователям cross-site scripting атаку и повысить привилегии.
Ввод пароля на странице LocalNetwork не санирован должным образом перед
перезапуском пользователя. Это позволяет выполнить произвольный HTML и
скрипт коды в окне браузера при просмотре зараженной страницы.
Так код может быть так же добавлен через прокси, потому как проверяется
только JavaScritp коды. Если правильно написать код, то пользователь не
сможет отразить атаку, и код выполнится без ведома пользователя.
Примеры:
http://[host]/cgi/b/intfs/_intf_/ov/?ce=1&be=0&l0=3&l1=1&name=[code
here]
Через прокси - 0=10&1=usrAccApply&34=NewUser&36=1&33=test&31=[code here]