Множественные уязвимости в маршрутизаторах Aethra

Дата публикации:
28.12.2015
Дата изменения:
28.12.2015
Всего просмотров:
2757
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
5
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Aethra BG1242W
Aethra BG8542W
Уязвимые версии:
Aethra BG1242W
Aethra BG8542W

Описание:

Уязвимости позволяют удаленному пользователю осуществить XSS- и CSRF-атаки, а также обойти ограничения безопасности.

1-3) Уязвимости существуют из-за ошибки при обработке входных данных полем username в форме аутентификации, полем source host ping и функции mtrace. Удаленный пользователь может с помощью специально сформированной ссылки выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

4) Уязвимость существует из-за недостаточной проверки подлинности HTTP-запросов. Удаленный пользователь может с помощью специально сформированной web-страницы осуществить CSRF-атаку и выполнить определенные действия от имени текущего пользователя.

5) Уязвимость существует из-за ошибки обхода политики CORS. Удаленный пользователь может обойти ограничения безопасности.


URL производителя: http://www.aethra.com/

Решение: Установите исправление с сайта производителя.

Ссылки: http://voidsec.com/en/aethra-botnet-en/