netgear wac120_firmware 跨站请求伪造（csrf）

CVE编号

CVE-2018-21096

利用情况

暂无

补丁情况

N/A

披露时间

2020-04-28

漏洞描述

NETGEAR WAC505等都是美国网件（NETGEAR）公司的一款无线接入点（AP）。 多款NETGEAR产品中存在跨站请求伪造漏洞，该漏洞源于WEB应用未充分验证请求是否来自可信用户，攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：https://kb.netgear.com/000060455/Security-Advisory-for-Cross-Site-Request-Forgery-on-Some-Wireless-Access-Points-PSV-2018-0096

参考链接
https://kb.netgear.com/000060455/Security-Advisory-for-Cross-Site-Request-For...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	netgear	wac120_firmware	*		Up to (excluding) 2.1.7
	运行在以下环境
	系统	netgear	wac505_firmware	*		Up to (excluding) 5.0.5.4
	运行在以下环境
	系统	netgear	wac510_firmware	*		Up to (excluding) 5.0.5.4
	运行在以下环境
	系统	netgear	wn604_firmware	*		Up to (excluding) 3.3.10
	运行在以下环境
	系统	netgear	wnap210_firmware	*		Up to (excluding) 3.7.11.4
	运行在以下环境
	系统	netgear	wnap320_firmware	*		Up to (excluding) 3.7.11.4
	运行在以下环境
	系统	netgear	wnd930_firmware	*		Up to (excluding) 2.1.5
	运行在以下环境
	系统	netgear	wndap350_firmware	*		Up to (excluding) 3.7.11.4
	运行在以下环境
	系统	netgear	wndap360_firmware	*		Up to (excluding) 3.7.11.4
	运行在以下环境
	系统	netgear	wndap620_firmware	*		Up to (excluding) 2.1.7
	运行在以下环境
	系统	netgear	wndap660_firmware	*		Up to (excluding) 3.7.11.4
	运行在以下环境
	硬件	netgear	wac120	-	-
	运行在以下环境
	硬件	netgear	wac505	-	-
	运行在以下环境
	硬件	netgear	wac510	-	-
	运行在以下环境
	硬件	netgear	wn604	-	-
	运行在以下环境
	硬件	netgear	wnap210	v2	-
	运行在以下环境
	硬件	netgear	wnap320	-	-
	运行在以下环境
	硬件	netgear	wnd930	-	-
	运行在以下环境
	硬件	netgear	wndap350	-	-
	运行在以下环境
	硬件	netgear	wndap360	-	-
	运行在以下环境
	硬件	netgear	wndap620	-	-
	运行在以下环境
	硬件	netgear	wndap660	-	-

CVSS3评分 7.4

• 攻击路径 相邻
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 需要
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.1/AV:A/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-352	跨站请求伪造（CSRF）

Exp相关链接

- avd.aliyun.com