# 宏电 H8922 后台任意文件读取漏洞 CVE-2021-28152

# 漏洞描述

宏电 H8922 后台存在任意文件读取漏洞，低权限用户通过漏洞可以获取任意文件内容

# 漏洞影响

宏电 H8922

# 网络测绘

app:"Hongdian H8922 Industrial Router"

# 漏洞复现

登录后台(存在访客用户默认账号密码 guest/guest)

漏洞存在于 log_download.cgi 文件中

使用type参数读取文件并下载日志给用户，使用 ../../ 可以跳转根目录读取任意文件

百卓 Patflow showuser.php 后台SQL注入漏洞宏电 H8922 后台命令执行漏洞 CVE-2021-28150