Множественные уязвимости в маршрутизаторах Huawei

Дата публикации:
01.12.2015
Дата изменения:
01.12.2015
Всего просмотров:
2065
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
3
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:U/RC:C) = Base:5/Temporal:4.3
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) = Base:5/Temporal:4.3
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) = Base:5/Temporal:4.3
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Внедрение в сессию пользователя
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Huawei EchoLife BM652 WiMAX CPE
Huawei EchoLife BM632w WiMAX CPE
Huawei EchoLife BM631a WiMAX CPE
Huawei EchoLife BM632 WiMAX CPE
Huawei EchoLife BM635 WiMAX CPE
Huawei EchoLife BM626 WiMAX CPE
Huawei EchoLife BM626e WiMAX CPE
Уязвимые версии:
Huawei EchoLife BM626e WiMAX CPE
Huawei EchoLife BM626 WiMAX CPE
Huawei EchoLife BM635 WiMAX CPE
Huawei EchoLife BM632 WiMAX CPE
Huawei EchoLife BM631a WiMAX CPE
Huawei EchoLife BM632w WiMAX CPE
Huawei EchoLife BM652 WiMAX CPE

Описание:

Уязвимости позволяют удаленному пользователю раскрыть важные данные, внедриться в сессию пользователя и осуществить CSRF-атаку.

1) Уязвимость существует из-за недостаточной защиты доступа к интерфейсу управления устройством. Удаленный пользователь может расркыть важные данные.

2) Уязвимость существует из-за ошибки, позволяющей получить ID сессии администратора без прохождения аутентификации. Удаленный пользователь может внедриться в сессию администратора устройства.

3) Уязвимость существует из-за недостаточной проверки входных данных. Удаленный пользователь может осуществить CSRF-атаку.


URL производителя: http://huawei.com

Решение: Способов устранения уязвимости не существует. Производитель не планирует выпуск исправления.

Ссылки: https://pierrekim.github.io/blog/2015-12-01-Huawei-Wimax-routers-vulnerable-to-multiple-threats.html