蜂网企业级路由器漏洞

发表于 2022-09-12 更新于 2023-05-07 分类于漏洞复现阅读次数：

【CVE-2019-16313】蜂网互联企业级路由器v4.31密码泄露漏洞

漏洞描述

蜂网互联企业级路由器v4.31存在接口未授权访问，导致攻击者可以是通过此漏洞得到路由器账号密码接管路由器

影响版本

蜂网互联企业级路由器v4.31

漏洞复现

通过fofa寻找蜂网路由器app="蜂网互联-互联企业级路由器”
访问/index.htm?PAGE=web链接，此链接未授权访问（里面的操作需要认证）可以看到，账号密码存在接口访问
/action/usermanager.htm存在未授权访问，如果存在漏洞可通过直接访问获得账号和密码HASH。

如果不存在漏洞，则会出现如下内容：
解密哈希即可获得密码，从而登录系统。

注：仅当作技术研究，请勿用于非法用途后果作者概不负责！！！

本文作者： 李钰璕
本文链接： https://leeyuxun.github.io/蜂网企业级路由器漏洞.html
版权声明： 本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！