发现Tenda AC15路由器包含各种不必要的帐户,其中包含令人难以置信的弱密码。 请注意,这些帐户不允许访问Web界面,但也不能从所述界面进行配置。 这意味着如果不访问设备(如telnet或ssh),用户将无法更改这些帐户。/ etc / passwd文件包含以下条目:
用户和管理员的密码全部为1234.通过这些帐户中的任何一个帐户进行日志记录可为我们提供root权限。 与CVE-2018-5770相结合,此漏洞可能会导致设备完全受损。
原文:https://www.fidusinfosec.com/tenda-ac15-hard-coded-accounts-cve-2018-5768/