Grandstream termékek cross-site request forgery és biztonsági szabály megkerülés sérülékenységei

2013. június 29. 20:15

CH azonosító

CH-9489

Angol cím

Grandstream Multiple Products Cross-Site Request Forgery and Security Bypass Vulnerabilities

Felfedezés dátuma

2013.06.28.

Súlyosság

Alacsony

Érintett rendszerek

N/A

Érintett verziók

Grandstream GXV Series IP Cameras
Grandstream GXV3500 IP Video Encoder/Decoder
Grandstream GXV3501 / GXV3504 IP Video Encoders

Összefoglaló

A Grandstream termékek sérülékenységei váltak ismertté, amelyeket kihasználva a támadók cross-site request forgery (CSRF/XSRF) támadásokat hajthatnak végre és megkerülhetnek bizonyos biztonsági korlátozásokat.

Leírás

A sérülékenység oka, hogy a telnet szolgáltatás egy bedrótozott felhasználói azonosítót használ, ami kihasználható pl. a gyári beállítások visszaállítására vagy a firmware frissítésére.
Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható pl. új felhasználó felvételére, ha a bejelentkezett adminisztrátori jogú felhasználó meglátogat egy káros weboldalt.

A sérülékenységek az alábbi termékeket érintik:
* GXV3500
* GXV3501
* GXV3504
* GXV3601
* GXV3601HD/LL
* GXV3611HD/LL
* GXV3615W/P
* GXV3615WP_HD
* GXV3651FHD
* GXV3662HD

Legfrissebb sérülékenységek

CVE-2024-20295 – Cisco IMC sérülékenysége

CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége

CVE-2024-3566 – Windows CreateProcess sérülékenysége

CVE-2024-22423 – yt-dlp sérülékenysége

CVE-2024-1874 – PHP sérülékenysége

CVE-2024-24576 – Rust sérülékenysége

CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége

CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége

CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége

CVE-2023-6320 – LG webOS sérülékenysége

Tovább a sérülékenységekhez »

Grandstream termékek cross-site request forgery és biztonsági szabály megkerülés sérülékenységei