Множественные уязвимости в Eye-Fi

Дата публикации:
04.03.2008
Всего просмотров:
1606
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Отказ в обслуживании
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Eye-Fi Manager 1.x
Eye-Fi Card
Уязвимые версии:
Eye-Fi Card
Eye-Fi Manager 1.1.2, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, спуфинг атаку и вызвать отказ в обслуживании.

1. Уязвимость существует из-за того, что встроенный Web сервер в Eye-Fi Manager недостаточно проверяет подлинность HTTP запросов перед выполнением некоторых действий. Удаленный пользователь может с помощью специально сформированного Web сайта произвести CSRF атаку.

2. Уязвимость существует из-за ошибки в процессе аутентификации. Удаленный пользователь может предугадать "snonce" значения и загрузить произвольные графические файлы на целевую систему.

3. Уязвимость существует из-за ошибки в Eye-Fi Manager Web сервере при обработке специально сформированных URL. Удаленный пользователь может с помощью специально сформированного URL аварийно завершить работу Web сервера. Пример:

"http://:59278/WS-Proxy?"

URL производителя: support.eye.fi/downloads/

Решение: Установите исправление с сайта производителя.

или введите имя

CAPTCHA