Множественные уязвимости в маршрутизаторах Huawei
| Дата публикации: | 01.12.2015 |
| Всего просмотров: | 2339 |
| Опасность: | Средняя |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 3 |
| CVSSv2 рейтинг: | 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:U/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Раскрытие важных данных Внедрение в сессию пользователя |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Huawei EchoLife BM652 WiMAX CPE
Huawei EchoLife BM632w WiMAX CPE Huawei EchoLife BM631a WiMAX CPE Huawei EchoLife BM632 WiMAX CPE Huawei EchoLife BM635 WiMAX CPE Huawei EchoLife BM626 WiMAX CPE Huawei EchoLife BM626e WiMAX CPE |
| Уязвимые версии: | Huawei EchoLife BM626e WiMAX CPE
Huawei EchoLife BM626 WiMAX CPE Huawei EchoLife BM635 WiMAX CPE Huawei EchoLife BM632 WiMAX CPE Huawei EchoLife BM631a WiMAX CPE Huawei EchoLife BM632w WiMAX CPE Huawei EchoLife BM652 WiMAX CPE |
| Описание: | Уязвимости позволяют удаленному пользователю раскрыть важные данные, внедриться в сессию пользователя и осуществить CSRF-атаку. 1) Уязвимость существует из-за недостаточной защиты доступа к интерфейсу управления устройством. Удаленный пользователь может расркыть важные данные. 2) Уязвимость существует из-за ошибки, позволяющей получить ID сессии администратора без прохождения аутентификации. Удаленный пользователь может внедриться в сессию администратора устройства. 3) Уязвимость существует из-за недостаточной проверки входных данных. Удаленный пользователь может осуществить CSRF-атаку. |
| URL производителя: |
http://huawei.com |
| Решение: | Способов устранения уязвимости не существует. Производитель не планирует выпуск исправления. |
| Ссылки: | https://pierrekim.github.io/blog/2015-12-01-Huawei-Wimax-routers-vulnerable-to-multiple-threats.html |