CH azonosító
CH-8482Angol cím
Schneider Electric Ethernet Modules Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2013.02.13.Súlyosság
AlacsonyÉrintett rendszerek
M340 module seriesModicon Quantum Series Modules
Premium module series
Schneider Electric
Érintett verziók
Schneider Electric M340 Series Modules
Schneider Electric Modicon Quantum Series Modules
Schneider Electric Premium Series Modules
Összefoglaló
A Schneider Electric Ethernet modulok olyan sérülékenységét jelentették, amelyet a támadók kihasználva cross-site request forgery (XSRF/CSRF) támadásokat hajthatnak végre.
Leírás
A modulok lehetővé teszik a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőriznék azok érvényességét. Ezt kihasználva például meg lehet változtatni a felhasználói név, jelszó párosokat, amennyiben egy bejelentkezett adminisztrátor meglátogat egy speciálisan elkészített weboldalt.
A sérülékenységet az alábbi verziókban jelentették, de más kiadások is érintettek lehetnek.
Quantum:
- 140NOE77111
- 140NOE77101
- 140NWM10000
M340:
- BMXNOC0401
- BMXNOE0100x
- BMXNOE011xx
Premium:
- TSXETY4103
- TSXETY5103
- TSXWMY100
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: download.schneider-electric.com
SECUNIA 52189