CVE-2026-29521CVE-2026-29521是存在于Hereta ETH-IMC408M设备固件版本1.0.15及之前版本中的一个跨站请求伪造(CSRF)漏洞。该漏洞存在于设备的setup.cgi接口中,由于该接口缺乏有效的CSRF保护机制,攻击者可以构造恶意网页,诱导已登录的管理员用户访问,从而在用户不知情的情况下执行未经授权的配置操作。攻击者利用此漏洞可以添加RADIUS账户、修改网络设置、触发设备诊断等操作,严重威胁设备的机密性、完整性和可用性。由于漏洞利用需要用户交互,攻击复杂度较低,但一旦成功,攻击者可以完全接管设备的配置管理权限。
该漏洞源于Hereta ETH-IMC408M设备的Web管理界面setup.cgi端点未实施CSRF令牌验证机制。攻击者首先构造一个包含自动提交表单的恶意HTML页面,该表单指向设备的setup.cgi接口。当已认证的管理员用户访问该恶意页面时,浏览器会自动携带用户的HTTP Basic Authentication凭证发送请求。由于设备服务器无法区分正常操作与伪造请求,攻击者可以执行以下操作:1)通过修改表单参数添加新的RADIUS账户,实现权限提升;2)更改网络配置参数,可能导致中间人攻击或数据泄露;3)触发设备诊断功能,可能造成服务中断。攻击成功的关键在于利用浏览器自动发送认证凭证的特性,结合社会工程学诱导用户访问恶意链接。