Changer l'apparence
Alertes: 3Com OfficeConnect Wireless 11g Access Point
Impact(s) : Révélation d'informations système sensibles
Solution : Patch du fournisseur
Exploit : Disponible
ZATAZ ID : ASZ-2005-160
Localisation(s) : Distante / Réseau local
Date de découverte : 21.01.2005
L'exploitation d'une erreur de validation d'un champ de saisie dans le produit 3Com OfficeConnect Wireless 11g Access Point permet à un utilisateur malveillant de récupérer des informations sensibles sur le routeur par le biais d'URL de l'interface d'administration non protégées. Ces URL exposerait le login et mot de passe administrateur en clair, la clé WEP et le SSID, et le fichier de log du routeur.
3Com OfficeConnect Wireless 11g Access Point permet aux utilisateurs d'accéder au réseau par le biais de connection wireless à des vitesses de 54 Mbps jusqu'à une distance de 100 mètres.
Le produit 3Com OfficeConnect Wireless 11g Access Point fournis une interface d'administration par le biais d'un serveur web accessible sur le port 80. Cette interface est exposée par défault à l'interface interne ethernet et wireless, il est aussi possible d'exposer cette interface d'administration sur l'interface externe ethernet. Le problème se situe dans l'appel d'URL de l'interface d'administration sans passer par la page d'identification.
La version du firmware 1.03.07A pour le produit 3CRWE454G72 comble cette vulnérabilité.
Veuillez noter que les informations diffusées par ZATAZ.net dans le cadre de sa rubrique Alertes ont comme
provenance des parties tierces.
ZATAZ.net collecte, valide et vérifie les vulnérabilités diffusées par les fournisseurs, groupes de recherches
spécialisés dans la sécurité informatique, etc.
Si vous désirez nous envoyer des alertes de sécurité que vous avez découvertes, contactez-nous sur alertes@zataz.net