关键信息 漏洞标题: Aquatronica Control System 5.1.6 Passwords Leak Vulnerability 公告ID: ZSL-2024-5824 类型: Local/Remote 影响: Security Bypass, Privilege Escalation, System Access, DoS, Exposure of System Information, Exposure of Sensitive Information, Manipulation of Data 风险等级: (5/5) 发布日期: 30.05.2024 漏洞描述 Aquatronica的电子AQUARIUM CONTROLLER在网络中暴露了未认证攻击者的tcp.php端点。此漏洞允许远程攻击者发送POST请求,从而泄露敏感配置信息,包括明文密码。这可能导致未经授权访问和控制水族箱控制器,损害其安全性,并可能允许攻击者操纵其设置。 受影响版本 Firmware: 5.1.6 Web: 2.0 测试环境 Apache/2.0.54 (Unix) PHP/4.4.17 厂商状态 [04.05.2024] 发现漏洞 [07.05.2024] 联系厂商 [29.05.2024] 厂商无回应 [30.05.2024] 公布安全公告 PoC aqua.py 致谢 漏洞由Gjoko Krstic发现 - 参考链接 1. https://packetstormsecurity.com/files/178871/Aquatronica-Control-System-5.1.6-Password-Disclosure.html 2. https://www.exploit-db.com/exploits/52028 3. https://cxsecurity.com/issue/WLB-2024060024