CH azonosító
CH-4585Angol cím
Symantec LiveUpdate Administrator Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2011.03.21.Súlyosság
AlacsonyÉrintett rendszerek
LiveUpdate AdministratorSymantec
Érintett verziók
Symantec LiveUpdate Administrator 2.x
Összefoglaló
A Symantec LiveUpdate Administrator olyan sérülékenysége vált ismertté, melyet kihasználva támadók cross-site kérés hamisításos (cross-site request forgery) támadásokat hajthatnak végre.
Leírás
Az alkalmazás management felülete lehetővé teszi a felhasználóknak bizonyos tevékenységek elvégzését HTTP kérésekkel anélkül, hogy azok érvényességét ellenőrizné. Ez kihasználható többek között kártékony parancsok futtatására, adminisztrátor felhasználó létrehozására vagy script beszúrásos támadások végrehajtására, ha egy az alkalmazásba bejelentkezett adminisztrátort sikerül rávenni egy speciálisan erre a célra szerkesztett weboldal meglátogatására.
A sérülékenység a 2.2.2.9. és az azt megelőző verziókban található.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com
Egyéb referencia: sotiriu.de
SECUNIA 43820
CVE-2011-0545 - NVD CVE-2011-0545