Unauthenticated RCE in Motorola's MR2600 Router
12 hours ago
- #Firmware Exploit
- #Router Security
- #Vulnerability Disclosure
- 文章详述了在摩托罗拉 MR2600 路由器中发现的一个无需认证的远程代码执行漏洞。
- 该漏洞涉及两个步骤:首先通过存在缺陷的多部分表单处理程序上传恶意固件,然后通过SOAP处理程序中的认证绕过触发固件刷写。
- 任何局域网内的攻击者都可在无需认证的情况下执行此攻击,如果路由器启用了远程管理功能,还可能实现远程利用。
- 摩托罗拉拒绝对已停产多年的 MR2600 路由器负责,导致该漏洞被公开披露。
- 作者在向包括摩托罗拉在内的多家厂商报告漏洞后,未获得任何漏洞赏金。