Összefoglaló
A Linksys WAG120N olyan sérülékenysége vált ismertté, melyet kihasználva támadók cross-site kérés hamisításos (CSRF/XSRF – cross-site request forgery) támadásokat tudnak végrehajtani.
Leírás
A setup.cgi script lehetővé teszi a felhasználóknak, hogy HTTP kéréseken keresztül bizonyos műveleteket hajtsanak végre anélkül, hogy ellenőrizné a kérést. Ez kihasználható többek között a távoli management engedélyezésére vagy az adminisztrátor jelszavának megváltoztatására, ha egy bejelentkezett adminisztrátor meglátogat egy speciálisan erre a célra elkészített weboldalt.
Megoldás
Kizárólag megbízható weboldalakat látogasson meg és megbízható linkeket kövessen, amikor be van jelentkezve az alkalmazásba!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: ircrash.com
SECUNIA 43510