Aruba Mobility Controller Captive Portal egyéni üdvözlőoldal átirányítás sérülékenysége

CH azonosító

CH-5157

Angol cím

Aruba Mobility Controller Captive Portal Custom Welcome Page Redirection Weakness

Felfedezés dátuma

2011.07.07.

Súlyosság

Alacsony

Érintett rendszerek

Aruba Networks
ArubaOS

Érintett verziók

Aruba Networks ArubaOS 2.4.x, 3.3.x, 3.4.x, 5.x, 6.x
Aruba Networks ArubaOS 2.4.x-FIPS, 3.3.x-FIPS, 3.4.x-FIPS

Összefoglaló

Az Aruba Mobility Controller olyan sérülékenységét jelentették, amelyet kihasználva a támadók hamisításos támadásokat hajthatnak végre.

Leírás

A hitelesítés során a captive portálnak átadott bizonyos bemenet nincs megfelelően ellenőrizve, mielőtt felhasználnák a felhasználók egyedi üdvözlőoldalra történő átirányításához. Ezt kihasználva egy tetszőleges oldalra lehet átirányítani a felhasználót, ha pl. egy speciálisan megszerkesztett,  megbízható tartományon található érintett scriptre mutató hivatkozásra kattint.

A sérülékenység sikeres kihasználásához szükséges egy egyéni üdvözlőoldal (alapértelmezetten nincs), illetve hogy az áldozat ne legyen még bejelentkezve.

Megoldás

Telepítse a javítócsomagokat