ZyXEL GS1510 azonosító kiszivárgás és cross-site scripting sérülékenység

CH azonosító

CH-6630

Angol cím

ZyXEL GS1510 Credentials Disclosure and Cross-Site Scripting Vulnerability

Felfedezés dátuma

2012.03.29.

Súlyosság

Alacsony

Érintett rendszerek

GS1510
ZyXEL

Érintett verziók

ZyXEL GS1510

Összefoglaló

A ZyXEL GS1510 két biztonsági hibája és egy sérülékenysége vált ismertté, amelyeket kihasználva a támadók érzékeny információkat szerezhetnek meg és cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani.

Leírás

  1. Az alkalmazás az azonosítókat a webctrl.cgi-be egyszerű szövegként és cookie értékek segítségével közvetíti. Ez kihasználható az azonosítók megszerzésére a hálózati forgalom lehallgatásával vagy Man-in-the-Middle (MitM) támadáson keresztül.
  2. URL segítségével többek között képeknek átadott bemeneti adat nincsen megfelelően tisztázva a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.

A biztonsági hibákat és a sérülékenységet a V1.00(BVN.1) firmware verzióban jelentették, egyéb verziók is érintettek lehetnek.

Megoldás

Frissítsen a V1.00(BVN.1) firmware verzióra.