1 |
对命令中使用的特殊元素中和不当(“命令注入”)(CWE-77)
CVE-2018-10697, CVE-2018-10699 |
攻击者可以在多项参数中注入命令 |
2 |
对命令中使用的特殊元素中和不当(“命令注入”)(CWE-77)
CVE-2018-10702 |
攻击者可以借助 shell 元字符在特定参数中注入命令 |
3 |
网页生成过程中对输入中和不当(“跨站脚本”)(CWE-79)
CVE-2018-10692 |
易遭受跨站脚本攻击,导致用户 cookie 信息遭窃 |
4 |
网页生成过程中对输入中和不当(“跨站脚本”)(CWE-79)
CVE-2018-10700 |
攻击者可以在特定参数中注入 XSS payload |
5 |
对内存缓冲区内的操作限制不当 (CWE-119)
CVE-2018-10693, CVE-2018-10695, CVE-2018-10701, and CVE-2018-10703 |
多项参数易导致缓冲区溢出 |
6 |
信任管理 (CWE-255) CVE-2018-10690 |
设备默认支持 HTTP 流量,因此对于连接 Web 服务器的用户,通讯机制存在安全隐患 |
7 |
信任管理 (CWE-255) CVE-2018-10694 |
设备具备无线网络连接功能,默认设置下保持打开状态,且未使用任何加密机制 |
8 |
信任管理 (CWE-255) CVE-2018-10698 |
设备默认启用未加密 TELNET 服务 |
9 |
访问控制错误 (CWE-284) CVE-2018-10691 |
容易发生未经授权即下载 systemlog.log 的情况 |
10 |
跨站请求伪造 (CSRF) (CWE-352) CVE-2018-10696 |
网页界面易遭受跨站请求伪造攻击 |