微点交流论坛

标题: Philips VOIP841多个漏洞 [打印本页]

作者: pioneer 时间: 2008-2-25 09:52 标题: Philips VOIP841多个漏洞

来源

secunia.com

操作系统

Philips VOIP841

描述

1)无正式文件("service":"service")的帐户中的问题，可导致以管理权限访问web管理接口

2)通过URL传递的参数在返回到用户前没有被准确过滤，这可导致用户浏览器浏览受影响的网页时执行任意HTML和脚本代码

3)传递到HTML请求的输入在使用前没有被准确过滤，这可通过目录遍历攻击在设备上显示任意文件
成功执行需要一个有效的用户帐户，且需要在1#漏洞中结合使用

注意：据报告，例如skype认证存储于cleartext设备中，可通过利用报告中所提到的漏洞来泄漏这些敏感信息

该漏洞在Philips VOIP841 firmware version1.0.4.50 和 1.0.4.80中已经报告，其它版本可能也受到影响

解决方案

在可信的网络环境中使用，不要浏览不可信网页

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn