【漏洞预警】雄迈uc-httpd Web服务应用任意文件读取漏洞

2017年4月份，网络中公开了uc-httpd Web服务应用程序的漏洞，该漏洞可以导致任意文件遍历以及任意文件读取。uc-httpd 是雄迈摄像头模块所使用Web应用软件，有大量IoT设备使用。攻击者可以通过该漏洞远程读取任意读取IoT设备的任意文件或者管理员配置文件等，从而提升权限。

经过白帽汇抽样检测国外设备发现，尽管该漏洞时过半年，目前外部网络中仍然有有20%的存在该问题。提醒使用相关设备的用户尽快升级最新版本，降低风险。

雄迈之家是杭州雄迈信息技术有限公司与关心支持雄迈的客户以及社会各界朋友沟通交流的平台，是雄迈了解客户需求、聆听朋友心声的平台，是雄迈以及所有朋友的温馨家园。雄迈愿为客户实现更深层合作提供全程支持与服务，以开放的心态携手与大家共创丰富精彩的家园。根据白帽汇FOFA系统2017年最新数据显示，该应用在全球共有556283个对外开放。其中使用最多的为越南，共有87324台，巴西第二，共有71013台，土耳其第三，共有43468台，俄罗斯第四，共有33332台，中国的台湾省第五，共有24249台。中国大陆地区共有7321台。其中，辽宁省、广东省、湖南省、江苏省使用最多，分别为1591台、763台、507台和450台。

uc-httpd全球分布情况（仅为分布情况，非漏洞影响情况）

uc-httpd 中国大陆地区分布情况（仅为分布情况，非漏洞影响情况）

漏洞等级

高危

漏洞原理

uc-httpd没有对url路径中的../等进行检查和过滤，导致任意攻击者可以输入1个或多个../字符串进行目录遍历，甚至任意文件读取的安全漏洞。

漏洞影响

根据白帽汇随机抽样检查，发现网络中仍然有20%的设备存在安全风险。

漏洞POC

FOFA客户端已经支持该漏洞检测。

CVE编号

无

修复建议

1、升级设备固件至最新版本。

白帽汇会持续对该漏洞进行跟进。后续可以关注链接

参考

[1] https://packetstormsecurity.com/files/142758/uc-httpd-Local-File-Inclusion-Traversal.html

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。