Es posible averiguar la clave de acceso del usuario administrador para poder acceder a la interface del módem/router Comtrend HG536+ que actualmente distribuye Jazztel sin introducir ningún dato.
Madre mía, es un agujero NEGRO de seguridad, tremendo que a estas alturas se cometan estos fallos de programación y existan estos Bugs que hasta un crió podría explotar.
La podría haber votado amarillista, más que nada porque el Comtrend también lo distribuyen otros operadores y hay muchos otros routers que usan de base el mismo firmware (Huawei entre otros).
Comentarios
Madre mía, es un agujero NEGRO de seguridad, tremendo que a estas alturas se cometan estos fallos de programación y existan estos Bugs que hasta un crió podría explotar.
Pero esto no es pq los passwords están en javascript no es tan fácil como ir a http://192.168.1.1/password.cgi y visualizar el código fuente...
En las lineas que ponen:
pwdAdmin = 'xxxx';
pwdSupport = 'xxx';
pwdUser = 'xx'
Esto al menos funciona hace mas de 3 años, es lamentable la verdad usar js para comprobar passwords...
La podría haber votado amarillista, más que nada porque el Comtrend también lo distribuyen otros operadores y hay muchos otros routers que usan de base el mismo firmware (Huawei entre otros).