【漏洞通告】Milesight路由器信息泄露漏洞（CVE-2023-43261）

一、漏洞概述CVE   IDCVE-2023-43261发现时间2023-10-17类    型信息泄露等    级高危攻击向量网络所需权限无攻击复杂度低用户交互无PoC/EXP已公开在野利用已发现Milesight是一家知名的物联网和视频监控产品制造商。10月17日，启明星辰VSRC监测到Milesight 的多款工业蜂窝路由器中存在敏感信息泄露漏洞（CVE-2023-43261），其CVSS评分为7.5，目前该漏洞的细节及PoC已公开，且该漏洞可能已被利用。该漏洞源于配置错误，导致路由器系统启用目录列表，使日志文件（如httpd.log）可被公开访问。这些日志文件中包含管理员和其他用户的用户名和密码（加密）等信息，未经身份验证的远程威胁者可通过路由器的 Web 界面获取这些敏感信息。且JavaScript代码中存在硬编码AES密钥和初始化向量（IV）促进了密码解密。成功利用这一系列漏洞链可能导致获得对路由器的未授权 ………………………………