智慧商业

智慧交通 智慧商业 智慧安全

钱柜娱乐安全预警-荣耀立方WS860s产品中的任意文

  荣耀立方WS860s产品支持文件上传功能,并且允许从Web界面访问设备中的文件。由于设备对上传的文件类型校验不足,并且未对Web访问文件的路径做足够的限制。导致攻击者可以将恶意文件上传到设备中执行,进而导致信息泄漏和文件被篡改等后果。钱柜娱乐 (漏洞编号:HWPSIRT-2014-0946)。

  攻击者需要通过LAN端口或者Wi-Fi接入设备,通过客户端的命令行工具,发送特定的报文,将恶意文件上传到设备的具有可执行权限的目录中。然后攻击者通过Web页面访问并执行刚刚上传的文件,可以获取设备信息,篡改设备文件以及令设备宕机。

  该漏洞由livers发现。华为应急响应团队尚未知悉关于该漏洞的恶意使用。

  本文件按“原样”提供,不承诺任何明示、默示和法定的担保,包括(但不限于)对适销性、适用性及不侵权的担保。 在任何情况下,华为技术有限公司,或其直接或间接控制的子公司,或其供应商,对任何损失,包括直接,间接,偶然,必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。华为可以随时对本文件所载的内容和信息进行修改或更新。

  如果您要反馈华为产品的漏洞信息、获取华为公司安全应急响应服务及获取华为产品漏洞信息,请通过以下链接获取帮助: