VULHUB ™

Axis网络视频可以直接通过IP网络传输和捕获现场映象，可以使用户利用WEB浏览器查看和管理摄象系统。 Axis网络视频系统的管理工具对用户访问限制处理不正确，远程攻击者可以利用这个漏洞未授权访问管理接口，修改配置。 在设置好Axis网络视频系统后，提供了供用户访问的基于WEB的管理工具，用于配置和管理摄像系统，用户可以通过请求如下URL访问： http：//camera-ip/admin/admin.shtml 不过以上连接需要提供用户名和密码，但是由于访问限制设计不正确，攻击者通过提交如下URL就可以无需密码访问管理接口： http：//camera-ip//admin/admin.shtml 利用这个漏洞，攻击者可以重置RO0T密码，然后telnet服务程序修改配置文件，通过非交互访问，以root用户权限在系统上执行任意命令。

Axis网络视频可以直接通过IP网络传输和捕获现场映象，可以使用户利用WEB浏览器查看和管理摄象系统。 Axis网络视频系统的管理工具对用户访问限制处理不正确，远程攻击者可以利用这个漏洞未授权访问管理接口，修改配置。 在设置好Axis网络视频系统后，提供了供用户访问的基于WEB的管理工具，用于配置和管理摄像系统，用户可以通过请求如下URL访问： http：//camera-ip/admin/admin.shtml 不过以上连接需要提供用户名和密码，但是由于访问限制设计不正确，攻击者通过提交如下URL就可以无需密码访问管理接口： http：//camera-ip//admin/admin.shtml 利用这个漏洞，攻击者可以重置RO0T密码，然后telnet服务程序修改配置文件，通过非交互访问，以root用户权限在系统上执行任意命令。