發現Tenda AC15路由器包含各種不必要的帳戶,其中包含令人難以置信的弱密碼。 請注意,這些帳戶不允許訪問Web界面,但也不能從所述界面進行配置。 這意味著如果不訪問設備(如telnet或ssh),用戶將無法更改這些帳戶。/ etc / passwd文件包含以下條目:
用戶和管理員的密碼全部為1234.通過這些帳戶中的任何一個帳戶進行日志記錄可為我們提供root權限。 與CVE-2018-5770相結合,此漏洞可能會導致設備完全受損。
原文:https://www.fidusinfosec.com/tenda-ac15-hard-coded-accounts-cve-2018-5768/