CH azonosító
CH-8100Angol cím
Cisco Wireless Lan Controller Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2012.12.13.Súlyosság
AlacsonyÉrintett rendszerek
CISCOWireless LAN Controller
Érintett verziók
Cisco Wireless LAN Controller (WLC) 7.x
Összefoglaló
A Cisco Wireless Lan Controller egy sérülékenységét jelentették, amit kihasználva a támadók cross-site request forgery (XSRF/CSRF) támadásokat hajthatnak végre.
Leírás
Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva tetszőleges állományt lehet létrehozni adminisztrátor jogosultsággal, ha egy bejelentkezett adminisztrátor meglátogat egy káros tartalmú weboldalt.
A sérülékenységet az 5.x, 6.x és a 7-0 és 7-4 közti verziókban jelentették.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 51546
CVE-2012-5991 - NVD CVE-2012-5991
CVE-2012-5992 - NVD CVE-2012-5992
CVE-2012-6007 - NVD CVE-2012-6007
Egyéb referencia: infosec42.blogspot.dk