原文链接: https://mp.weixin.qq.com/s?__biz=Mzk0MjU5NTY2MQ==&mid=2247484404&idx=1&sn=210b67f6dbbe6f2f49edb18417cdb516

【厂商不承认的漏洞】某设备接口未授权实现任意密码修改

什么安全 2025-07-03 08:27

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！

漏洞描述

具体是哪个厂商也就不说了，不承认拉倒。漏洞情况是这样的，打开设备的web页面，就是一个登录页面，剩下什么功能都没有，我是通过测试发现一个网络配置接口存在未授权，可以修改信息，包括重置密码（修改密码是可以完成操作的，已经复现登录，并将密码重置）。于是直接在平台提交了该漏洞，平台也通报该厂商了，下边是截图证明。

平台这边审核通过没问题了，但是厂商不承认是漏洞，说是误报，纯前端页面，这太扯淡了。

下边是我复现截图：

个人认为就是问题。

小
知
识

依据《刑法》第285条第3款的规定，犯提供非法侵入或者控制计算机信息罪的，处3年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处3年以上7年以下有期徒刑，并处罚金。

声
明

本文提供的技术参数仅供学习或运维人员对内部系统进行测试提供参考，未经授权请勿用本文提供的技术进行破坏性测试，利用此文提供的信息造成的直接或间接损失，由使用者承担。

---