每日IoT安全动态(20191121)

资讯

1、NETGEAR WNR3500U和WNR3500L 安全漏洞

NETGEAR WNR3500U和WNR3500L都是美国网件（NETGEAR）公司的一款无线路由器。

NETGEAR WNR3500U and WNR3500L routers uses form tokens abased solely on router’s current date and time, which allows attackers to guess the CSRF tokens.

Cross-site scripting (XSS) vulnerability in NETGEAR WNR3500U and WNR3500L.

Symlink Traversal vulnerability in NETGEAR WNR3500U and WNR3500L due to misconfiguration in the SMB service.

2、Technicolor TC7300 安全漏洞

Technicolor TC7300是法国特艺（Technicolor）公司的一款路由器。

An XSS vulnerability on Technicolor TC7300 STFA.51.20 devices allows remote attackers to inject arbitrary web script via the “Connected Clients” field to /wlanAccess.asp. An intranet host can use a crafted hostname to exploit this.

An XSS vulnerability on Technicolor TC7300 STFA.51.20 devices allows remote attackers to inject arbitrary web script via the FileName parameter to /FTPDiag.asp.

3、多款Huawei产品安全漏洞

Huawei HiRouter-CD15-10等都是中国华为（Huawei）公司的一款无线路由器。 多款Huawei产品中存在安全漏洞，该漏洞源于程序授权不当。攻击者可利用该漏洞执行上传的恶意文件并提升权限。以下产品及版本受到影响：Huawei CD10-10 10.0.2.2版本；CD16-10 10.0.2.3版本；CD17-10 9.0.3.3版本；CD18-10 9.0.2.23版本；HiRouter-CD15-10 9.0.2.3版本；HiRouter-CD20-10 9.0.3.9版本；HiRouter-CD21-16 9.0.3.9版本；HiRouter-CD30-10 10.0.2.8版本；HiRouter-CD30-11 10.0.2.8版本；HiRouter-H1-10 9.0.3.11版本；TC5200-10 10.0.2.3版本；WS5100-10 9.0.3.11版本；WS5102-10 10.0.2.2版本；WS5106-10 10.0.2.2版本；WS5108-10 10.0.2.2版本；WS5200-10 10.0.2.2(C05)版本，9.0.3.9版本；WS5200-11 10.0.2.3版本，9.0.3.11版本；WS5280-10 9.0.3.22版本，WS5280-11 9.0.3.22版本，WS6500-10 10.0.2.3版本；WS6500-11 10.0.2.2版本；WS826-10 9.0.3.11版本。

4、ASUS RT-AC66U和RT-N56U 安全漏洞

ASUS RT-AC66U和RT-N56U都是中国台湾华硕（ASUS）公司的一款无线路由器。

Symlink Traversal vulnerability in ASUS RT-AC66U and RT-N56U due to misconfiguration in the SMB service.

5、TRENDnet TEW-812DRU 安全漏洞

TRENDnet TEW-812DRU是美国趋势网络（TRENDnet）公司的一款无线路由器。

Undocumented TELNET service in TRENDnet TEW-812DRU when a web page named backdoor contains an HTML parameter of password and a value of j78G?DFdg_24Mhw3.

6、Belkin N900 安全漏洞

Belkin N900是美国贝尔金（Belkin）公司的一款无线路由器。

Symlink Traversal vulnerability in Belkin N900 due to misconfiguration in the SMB service.

7、Intelbras WRN 150 跨站脚本漏洞

Intelbras WRN 150是波兰Intelbras公司的一款无线路由器。 Intelbras WRN 150 1.0.17版本中的WAN配置页面的Service Name标签存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。

8、Technicolor C2100T和Technicolor C2000T 安全漏洞

Technicolor C2000T和C2100T都是法国特艺（Technicolor）公司的一款无线路由器。 Technicolor C2000T和C2100T中存在信任管理问题漏洞。该漏洞源于网络系统或产品中缺乏有效的信任管理机制。攻击者可利用默认密码或者硬编码密码、硬编码证书等攻击受影响组件。