CA ARCserve D2D adminisztratív web interfész sérülékenység


2011. július 27. 11:40

CH azonosító

CH-5268

Angol cím

CA ARCserve D2D Administrative Web Interface Security Bypass Vulnerability

Felfedezés dátuma

2011.07.26.

Súlyosság

Közepes

Érintett rendszerek

ARCServe D2D
Computer Associates (CA)

Érintett verziók

CA ARCServe D2D r15

Összefoglaló

A CA ARCserve D2D egy sérülékenységét fedezték fel, amelyet kihasználva a támadó megkerülhet bizonyos biztonsági szabályokat és feltörheti a sérülékeny rendszert.

Leírás

A sérülékenység oka, hogy a “homepageServlet” servlet nem hitelesít bizonyos Google Web Toolkit (GWT) RPC kéréseket. Ez kihasználható speciálisan erre a célra készített HTTP POST kérésekkel, hogy megszerezzék az adminisztratív bizonyítványokat, amely lehetővé teszi tetszőleges backup parancs létrehozását.

A sérülékenységet az r15 Build 575-ös verzióban igazolták. Más verziók is érintettek lehetnek.

Megoldás

Korlátozza az adminisztratív web interfészhez történő hozzáférést (pl.: TCP 8014-es port) csak a megbízható hosztokra.

Támadás típusa

Authentication Issues (Hitelesítés)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

SECUNIA 45379
Egyéb referencia: retrogod.altervista.org

Legfrissebb sérülékenységek
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE-2025-14174 – Google Chromium Out of Bounds Memory Access sérülékenysége
CVE-2025-14611 – Gladinet CentreStack and Triofox Hard Coded Cryptographic sérülékenysége
CVE-2025-43529 – Apple Multiple Products Use-After-Free WebKit sérülékenysége
CVE-2025-21621 – GeoServer Reflected Cross-Site Scripting (XSS) sérülékenység
CVE-2025-64471 – Fortinet FortiWeb sérülékenysége
Tovább a sérülékenységekhez »