一、概述

近日，天融信阿尔法实验室研究员发现了大量应用于IOT设备的Mini_httpd组件存在(CVE-2018-18778)任意文件读取漏洞，并可能影响全球百万在线设备。 Mini_httpd是一个小型Http服务器,占用系统资源较小，因此被广泛采用于IOT设备（比如路由器、摄像头等）,通过该漏洞，恶意攻击者可以读取设备上的任意文件，严重威胁设备的安全性。

目前阿尔法实验室已经联合Mini_httpd官方ACME修补了该漏洞，官方提供了更新版本。

二、漏洞影响

  Mini_httpd组件被大量设备厂商采用，通过网络探测搜索到采用Mini_httpd的组件设备数量达到惊人的1239248台，采用Mini_httpd的设备覆盖全球主要国家和地区，其中中国大陆达到10387台，数量最多的是台湾地区达到334590台。

三、漏洞描述

漏洞原因是由于没有过滤Http包头的特定字段，导致可以构造访问系统文件的路径，从而导致可访问任意文件，攻击者可以利用该漏洞读取设备的任意文件，这将严重威胁采用Mini_httpd的设备的安全性。

3.1漏洞等级

高危

3.2受影响版本

ACME mini_httpd before 1.30 

四、漏洞验证

五、修复建议

为保障公共安全，天融信阿尔法实验室建议：

在漏洞未完全修复前，设备使用方应限制问题设备的互联网访问权限。

请下载最新ACME mini_httpd 1.3版本

Mini_httpd官方网址：http://www.acme.com/software/mini_httpd/