关键信息 漏洞标题: V-SOL GPON/EPON OLT Platform v2.03 Unauthorized Configuration Download Advisory ID: ZSL-2019-5534 漏洞类型: Local/Remote 影响: Security Bypass, Exposure of System Information, Exposure of Sensitive Information 风险等级: 4/5 发布日期: 26.09.2019 漏洞描述 设备OLT Web Management Interface存在未经身份验证的配置下载和信息泄露漏洞,当直接对象引用请求发送至usrcfg.conf文件时,使用HTTP GET方法,这将允许攻击者泄露敏感信息,并在身份验证绕过、权限提升和/或完全系统访问中提供帮助。 影响版本 V2.03.62R_I Pv6 V2.03.54R V2.03.52R V2.03.49 V2.03.47 V2.03.40 V2.03.26 V2.03.24 V1.8.6 V1.4 补丁状态 N/A 证明概念 (PoC) gpon_olt_configdl.txt 发现者 漏洞由Gjoko Krstic发现 - 参考链接 [1] https://www.exploit-db.com/exploits/47433 [2] https://packetstormsecurity.com/files/154627 [3] https://cxsecurity.com/issue/WLB-2019090178 [4] https://exchange.xforce.ibmcloud.com/vulnerabilities/167770 更新记录 [26.09.2019] - 初始发布 [03.10.2019] - 添加引用[1]、[2]、[3]和[4]