超级会员免费看
CVE-2024-53375
TP-Link Archer系列路由器认证操作系统命令注入
受影响的设备
使用 HomeShield 功能的 TP-Link 设备容易受到此漏洞的影响。这包括 TP-Link Archer 系列的多款路由器。
经过测试
Archer AXE75(EU)_V1_1.2.2 Build 20240827(发布日期 2024 年 11 月 4 日)
技术细节
攻击者可以使用 HTTP POST 请求指示路由器执行任意命令。此漏洞可从 /admin/smart_network?form=tmp_avira 端点调用。需要有效的会话。
该端点调用avira.lua文件中的以下函数:
此代码存在远程代码执行 (RCE) 漏洞,因为它OwnerId直接解析os.execute函数,没有进行任何清理或检查。要利用
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
