漏洞描述 如果页面包含“.jpg”、“.gif”或“ess_”子字符串,则NETGEARDGN2200v1路由器无需验证,但与整个URL匹配。因此,通过在GET变量中添加相关子字符串(例如“?.gif”),可以访问设备上的任何页面,包括那些需要身份验证的页面。
相关漏洞推荐 POC CVE-2016-5649: NETGEAR DGN2200 / DGND3700 - Admin Password Disclosure POC CVE-2024-57046: Netgear DGN2200 - Improper Authentication POC netgear-router-auth-bypass: NETGEAR DGN2200v1 - Authentication Bypass Netgear DGN2200v3-信息泄漏 Netgear DGN2200v4-信息泄露 Netgear DGN2200 DGND3700 BSW_cxttongr.htm-登录口令泄漏(CVE-2016-5649) Netgear DGN2200 PING-远程命令执行(CVE-2017-6077)