Western Digital My Net Router main_internet.php 管理者認証情報の漏洩
medium Nessus プラグイン ID 69370
Language:
概要
リモート Web サーバーは、情報漏洩の脆弱性の影響を受けるアプリケーションをホストします。説明
識別された Western Digital My Net ルーターの Web サーバーは、情報漏洩の脆弱性による影響を受けます。管理者パスワードは、「var pass」の値として平文で保存されます。これは「main_internet.php」のソースコードにあります。認証されていないリモートの攻撃者が、影響を受けるデバイスにリクエストを送信することで、ログイン認証情報にアクセスする可能性があります。注意:この問題を悪用するには、UPnP およびリモートの管理アクセスが有効化されている必要があります。
ソリューション
N900 および N900C デバイスのユーザーは、ファームウェアをバージョン 1.07.16 以降に更新する必要があります。影響を受けるその他のデバイスについては、ベンダーに連絡してアップグレードオプションについてご相談ください。アップグレードオプションが利用できない場合、一部のソースでは、考えられる緩和手順として、リモート管理アクセスおよび UPnP を無効にすることが推奨されています。参考資料
プラグインの詳細
深刻度: Medium
ID: 69370
ファイル名: wd_my_net_password_disclosure.nasl
バージョン: 1.8
タイプ: remote
ファミリー: CGI abuses
公開日: 2013/8/15
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.0
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.4
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2013-5006
脆弱性情報
CPE: cpe:/o:wdc:mynet_firmware
エクスプロイトが利用可能: true
エクスプロイトの容易さ: No exploit is required
Nessus によりエクスプロイト済み: true
パッチ公開日: 2013/5/21
脆弱性公開日: 2013/7/19
参照情報
CVE: CVE-2013-5006
BID: 61361