关键漏洞信息 漏洞描述 标题: Web管理界面中缺少身份验证 CWE-ID: CWE-306: 关键功能缺少身份验证 影响厂商 受影响厂商: Comet System 受影响产品和固件版本 Model T7611: Firmware versions 1-5-7-5.1252 / 1.60 Model T4511: Firmware versions 1-5-7-5.1222 / 1.60 Model T9510: Firmware versions 1-6-7-5.1252 / 1.60 Model T8410: Firmware versions 1-5-7-5.1222 / 1.60 Model T3310: Firmware versions 1-5-7-5.1222 / 1.60 Model T2311: Firmware versions 1-5-7-2.1211 / 1.40 Model R9512: Firmware versions 4-5-8-0.3488 / 1.70 Model R9532: Firmware versions 6-6-8-1.3502 / 1.80 Model H3511: Firmware versions 9-5-0.1.1327 / 1.10 漏洞细节 通过默认的Web管理界面,攻击者可以绕过身份验证访问管理配置页面。 允许未认证用户修改关键设备设置,包括安全配置、Web服务器控制、网络和报警设置、服务中断等。 影响 非授权配置更改可能导致操作中断。 攻击者可能禁用安全控制、窃取敏感数据或部署持久后门。 被攻陷的设备可能作为内部网络横向移动的入口点。 PoC 提供了访问管理配置页面的URL示例。 ``` 这个Markdown总结了截图中的关键漏洞信息,包括漏洞描述、影响厂商、受影响的产品和固件版本、漏洞细节以及影响。