CH azonosító
CH-13261Angol cím
Postfix Admin v2.93 Generic POST Cross-Site Request ForgeriesFelfedezés dátuma
2016.05.20.Súlyosság
KözepesÉrintett rendszerek
Postfix AdminÉrintett verziók
Postfix Admin v2.93
Korábbi verziók is érintettek lehetnek
Összefoglaló
A Postfix Admin sérülékenysége vált ismertté, amelyet kihasználva a támadók Cross-Site Request Forgery típusú támadásokat hajthatnak végre.
Leírás
A Postfix Admin különböző konfigurációs lehetőségeket kínál HTTP GET és HTTP POST megoldással. A GET alapú műveletek egy CSRF token által védettek, míg a POST alapúak nem, így azon műveletek, pl. e-mail továbbítási beállítások, új mailbox és álnév (alias) felvétel, CSRF támadásokra adhatnak lehetőséget.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Cross-Site Request Forgery (CSRF)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: sourceforge.net
Egyéb referencia: seclists.org