关键漏洞信息 漏洞概述 漏洞类型: 命令注入漏洞 受影响设备: Western AC1200 (Model WN-WR3202A) 路由器 固件版本: MS32A3_V1.410_240222 CVE编号: CVE-2024-48705(正在申请中) 漏洞细节 漏洞位置: 在重置密码功能中, 函数调用时存在命令注入风险。 问题函数: - 该函数在处理用户输入的密码时,未对输入进行充分验证和转义,导致可以直接执行任意命令。 - 示例代码显示,当输入包含特殊字符如分号 时,可以绕过检查并执行额外命令。 利用方法 攻击向量: 通过登录页面的“重置密码”功能,利用HTTP POST请求注入恶意命令。 示例请求: 效果: 成功执行后,可以在路由器上运行任意命令,例如添加新的管理员账户或执行其他恶意操作。 影响 潜在危害: 攻击者可以利用此漏洞获取路由器的完全控制权,进而可能进一步渗透到内部网络。 ``` 这些信息总结了漏洞的关键点,包括其类型、影响范围、具体的技术细节以及如何被利用。