Abyss Web Server cross-site request forgery sérülékenység

CH azonosító

CH-3128

Felfedezés dátuma

2010.05.16.

Súlyosság

Alacsony

Érintett rendszerek

Abyss Web Server
Aprelium

Érintett verziók

Aprelium Abyss Web Server 2.x

Összefoglaló

Az Abyss Web Server egy olyan sérülékenységét fedezték fel, amelyet kihasználva a támadók cross-site kérés hamisítás (cross-site request forgery) támadásokat hajthatnak végre.

Leírás

Az Abyss Web Server egy olyan sérülékenységét fedezték fel, amelyet kihasználva a támadók cross-site kérés hamisítás (cross-site request forgery) támadásokat hajthatnak végre.

Az alkalmazás lehetővé teszi, hogy a felhasználók HTTP kéréseken keresztül
bizonyos tevékenységeket folytassanak le, a kérések érvényességének ellenőrzése
nélkül. Ez kihasználható pl. az adminisztrátor jelszavának megváltoztatására, ha az adminisztrátorként bejelentkezett felhasználó meglátogat egy káros weboldalt.

A sérülékenységet a Windows-on futó X1 2.6 verzióban igazolták. Más verziók is
érintettek lehetnek.

Megoldás

Ne böngésszen megbízhatatlan oldalakon és ne kövessen ilyen linkeket sem, amíg
az alkalmazásba be van jelentkezve!