Grandstream termékek cross-site request forgery és biztonsági szabály megkerülés sérülékenységei

CH azonosító

CH-9489

Angol cím

Grandstream Multiple Products Cross-Site Request Forgery and Security Bypass Vulnerabilities

Felfedezés dátuma

2013.06.28.

Súlyosság

Alacsony

Érintett rendszerek

N/A

Érintett verziók

Grandstream GXV Series IP Cameras
Grandstream GXV3500 IP Video Encoder/Decoder
Grandstream GXV3501 / GXV3504 IP Video Encoders

Összefoglaló

A Grandstream termékek sérülékenységei váltak ismertté, amelyeket kihasználva a támadók cross-site request forgery (CSRF/XSRF) támadásokat hajthatnak végre és megkerülhetnek bizonyos biztonsági korlátozásokat.

Leírás

  1. A sérülékenység oka, hogy a telnet szolgáltatás egy bedrótozott felhasználói azonosítót használ, ami kihasználható pl. a gyári beállítások visszaállítására vagy a firmware frissítésére.
  2. Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható pl. új felhasználó felvételére, ha a bejelentkezett adminisztrátori jogú felhasználó meglátogat egy káros weboldalt.

A sérülékenységek az alábbi termékeket érintik:
* GXV3500
* GXV3501
* GXV3504
* GXV3601
* GXV3601HD/LL
* GXV3611HD/LL
* GXV3615W/P
* GXV3615WP_HD
* GXV3651FHD
* GXV3662HD

Megoldás

Ismeretlen