设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

小米公司智能摄像机(小蚁)存在远程命令执行漏洞

2015-2-2 22:45| 发布者: 随便、先森。| 查看: 1257| 评论: 0|来自: 360安全播报

摘要: 漏洞描述:小蚁摄像头应用管理程序存在远程命令执行漏洞,可以通过web界面以root权限执行任意系统命令(无需任何web权限),目前官方的最新版本已经修复此漏洞。影响范围:firmware version=1.8.3.4F_201410221315 ...

t0167153064b2673d18.png

漏洞描述:

小蚁摄像头应用管理程序存在远程命令执行漏洞,可以通过web界面以root权限执行任意系统命令(无需任何web权限),目前官方的最新版本已经修复此漏洞。

影响范围:

firmware version<=1.8.3.4F_201410221315 (注:我们未找到所有的固件版本,这个版本是我们设备的出厂版本,也是我们能找到的存在漏洞的最新版本)

漏洞利用:

通过web应用程序漏洞构造参数,执行系统命令。

t0109e7036c8125d24e.png

t01fc20a752b698b871.png

查看系统命令当前执行权限,执行结果为系统最高权限。

t010cc64c5615e3a0a5.png

t011434948b0eb42698.png

t0173a499233bf12d8f.png

漏洞危害:

攻击者可以通过该漏洞,无需用户名、口令等认证方式,远程控制小蚁摄像头,浏览视频信息。如果点击黑客恶意构造的链接地址,黑客还可以盗走wifi密码。这严重危害到家庭的隐私及公共安全。同时可以利用小蚁摄像头对路由器进行关联操作,攻击家庭内网其它智能设备。

安全建议:

进入小蚁摄像机应用管理程序,在连接互联网的情况下点击自动升级。等待升级完成后确认为当前最新版本即可。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部