发布日期：2003-11-27
更新日期：2003-12-02

受影响系统：

Nusoft System NUS-IS104
Nusoft System NUS-IS105
Nusoft System NUS-IS107
Nusoft System NUS-IS108

描述：

---

新软IS104/IS105/IS107/IS108 宽频路由器具有宽频分享，防火墙保护，包过滤，流量监控，入侵报警，VPN等众多功能。

由于此路由采用远程管理的thttpd-2.2.20服务对于远程http访问目录验证权限存在问题，所以远程攻击者可以无须验证直接访问http://xxx.xxx.xxx.xxx/cgi-bin/下面的任何cgi脚本程序。

攻击者可以远程利用这个漏洞直接越权访问超级用户有权的任何web程序，例如
http://xxx.xxx.xxx.xxx/cgi-bin/gener.cgi?type=admin 请求可以直接进入管理员密码设定页面，可以重新配置密码并获取所有控制权限

FIRMWARE升级可以在http://www.nusoft.com.tw/获取

<*来源：jlwhc （nsfocus@163.com）
  *>

建议：

---

厂商补丁：

Nusoft System
-------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.nusoft.com.tw/

浏览次数：3784
严重程度：1（网友投票）