CVE-2021-28149 in H8922
요약
\~에 의해 VulDB • 2026. 05. 23.
Hongdian H8922 3.0.5 장치에서 디렉토리 트래버설이 가능합니다. /log_download.cgi 로그 내보내기 핸들러는 사용자 입력을 검증하지 않으며, 최소 권한을 가진 원격 공격자가 ../(예: ../../etc/passwd)을 치환하여 장치의 모든 파일을 다운로드할 수 있습니다. 이는 웹 브라우저에서 파일 이름을 적절히 변경하여 수행할 수 있습니다. log_download.cgi?type=../../etc/passwd를 방문하고 로그인하면 웹 서버는 /etc/passwd 파일의 내용을 다운로드할 수 있도록 허용합니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.