業界數一數二的投影儀品牌富可視IN3128型號投影儀固件近日曝身世份驗證繞過縫隙。由于該投影儀可連接WiFi(用于無線投影),者能夠操縱該縫隙投影儀所正在的網絡。縫隙道理富可視IN3128型號投影儀凡是應用于學校的多教室。凡是來說,富可視IN31
業界數一數二的投影儀品牌富可視IN3128型號投影儀固件近日曝出。由于該投影儀可連接WiFi(用于無線投影),者能夠操縱該縫隙投影儀所正在的網絡。
縫隙道理
富可視IN3128型號投影儀凡是應用于學校的多教室。
凡是來說,富可視IN3128HD投影儀辦理節造台所需辦理員密碼才能訪問其設置裝備擺設界面,可是受繞過縫隙(CVE-2014-8383)的影響,者只要猜測用戶順利登錄之後跳轉的頁面(main.html)就能點竄投影儀的任何設置裝備擺設參數,這象徵著只所需利用正確的URL,者就能夠繞過登錄頁面的身份驗證。
國家焦點平安實驗室的鑽研人員JoaquinRodriguezVarela正在報告中說道:
“一般情況下,爲了查看或者點竄富可視IN3128HD投影儀設置裝備擺設參數,web服務器所需用戶輸入辦理員密碼才能夠。然而,當者曉得一般用戶順利登錄後所跳轉的頁面(main.html)時,他就能夠操縱該縫隙繞過登錄頁面的身份驗證。該縫隙的緣由是登錄頁面並未蘊含任何節造或驗證用戶身份的消息,dedecms插件,而登錄時僅僅檢查登錄密碼能否正確,順利登錄後卻並未産生會話cookie。”
一旦繞過身份驗證機造,免費織夢cms模板,者就能夠獲得及點竄網絡設置(比方:網絡掩碼、DNS服務器、網關)或WiFi設置裝備擺設,包羅WiFi密碼。不難想象獲得WiFi密碼之後會産生什麽樣的後果。
Varela強調該投影儀固件還缺乏對webctrl.cgi.elfCGI文件的身份驗證,而利用該文件能夠再次更改包羅DHCP設置正在內的設備參數,並能夠強造遠程重啓富可視IN3128HD投影儀。
平安
Varela已經將該縫隙報告給了富可視公司。然而,目前富可視公司仍未供給任何針對該縫隙的固件更新。
利用富可視IN3128HD投影儀的用戶將該設備從大眾網絡進行隔離。
(責任編輯:小岚網絡)
其他資訊:cellphone accessories,personalized gifts iphone case,custom case,