Összefoglaló
Egy sérülékenységet jelentettek a Netgear RP614-ben, amelyet kihasználva, támadók cross-site request forgery (XSRF) támadásokat indíthatnak.
Leírás
Egy sérülékenységet jelentettek a Netgear RP614-ben, amelyet kihasználva, támadók cross-site request forgery (XSRF) támadásokat indíthatnak.
A webes adminisztrációs felület lehetővé teszi a felhasználóknak, hogy bizonyos műveleteket hajtsanak végre HTTP kérések segítségével anélkül, hogy bármilyen ellenőrzésen átesnének. Ez kihasználható adminisztratív feladatok futtatására vagy script befecskendezéses támadások végrehajtására, pl. amikor egy bejelentkezett adminisztrátor egy kártékony weboldalt látogat meg.
A sérülékenységet a Netgear RP614v4 azon verzióiban jelentették, melyek az 1.0.5_04.23 firmware-el futnak. Más verziók is érintettek lehetnek.
Megoldás
Ne látogasson megbízhatatlan weboldalakat és ne nyisson meg megbízhatatlan linkeket, miközben be van jelentkezve az adminisztrációs oldalra.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: holisticinfosec.org
SECUNIA 35276