CVE-2017-5521 in R8500information

Résumé

par VulDB • 13/07/2026

Un problème a été identifié sur les appareils NETGEAR R8500, R8300, R7000, R6400, R7300, R7100LG, R6300v2, WNDR3400v3, WNR3500Lv2, R6250, R6700, R6900 et R8000. Ils sont vulnérables à la divulgation de mots de passe via des requêtes web simples mais manipulées adressées au serveur de gestion Web. Le bug est exploitable à distance si l'option de gestion distante est activée, et peut également être exploité en disposant d'un accès au routeur par LAN ou WLAN. Lors de la tentative d'accès au panneau Web, un utilisateur doit s'authentifier ; si l'authentification est annulée et que la récupération du mot de passe n'est pas activée, l'utilisateur est redirigé vers une page qui expose un jeton (token) de récupération du mot de passe. Si un utilisateur fournit le bon jeton à la page /passwordrecovered.cgi?id=TOKEN (et que la récupération du mot de passe n'est pas activée), il recevra le mot de passe administrateur du routeur. Si la récupération du mot de passe est configurée, l'exploitation échouera car elle demandera à l'utilisateur les questions de sécurité définies précédemment lors de l'activation de cette fonctionnalité. Ce comportement persiste (même après avoir désactivé l'option de récupération, l'exploitation échoue) car le routeur continuera de demander les questions de sécurité.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Réserver

17/01/2017

Divulgation

17/01/2017

Modérer

accepté

Entrée

VDB-95439

CPE

prêt

Exploitation

Télécharger

EPSS

0.89294

KEV

oui

Activités

très faible

Sources

Might our Artificial Intelligence support you?

Check our Alexa App!