漏洞关键信息 漏洞标题 Smartwares HOME easy v1.0.9 Client-Side Authentication Bypass 漏洞ID ZSL-2019-5540 类型 Local/Remote 影响 Exposure of System Information Exposure of Sensitive Information Security Bypass 风险 3(5) 发布日期 05.11.2019 漏洞描述 HOME easy 漏洞包括信息泄露和通过导航到多个管理网页的客户端身份验证绕过,导致 SQLite3 数据库文件的披露和其他功能通过禁用浏览器中的 JavaScript 也可访问,从而绕过客户端验证和重定向。 受影响版本 <= 1.0.9 测试环境 Boa/0.94.13 厂商状态 2019年9月30日:漏洞被发现 2019年10月1日:联系厂商 2019年11月4日:厂商无响应 2019年11月5日:发布公共安全公告 漏洞发现者 Gjoko Krstic - gjoko@zeroscience.mk 参考链接 1. https://www.exploit-db.com/exploits/47595 2. https://packetstormsecurity.com/files/155176 3. https://cxsecurity.com/issue/WLB-2019110041 4. https://exchange.xforce.ibmcloud.com/vulnerabilities/171052