多款Alcatel-Lucent OmniSwitch产品跨站请求伪造漏洞

admin
admin
admin
0
文章
0
评论
2024-01-13 17:16:39 YS 来源:ZONE.CI 全球网 0 阅读模式
> 多款Alcatel-Lucent OmniSwitch产品跨站请求伪造漏洞

多款Alcatel-Lucent OmniSwitch产品跨站请求伪造漏洞

CNNVD-ID编号 CNNVD-201506-297 CVE编号 CVE-2015-2805
发布时间 2015-06-17 更新时间 2015-06-17
漏洞类型 跨站请求伪造 漏洞来源 N/A
危险等级 中危 威胁类型 远程
厂商 alcatel-lucent

漏洞介绍

Alcatel-Lucent OmniSwitch 6450等都是法国阿尔卡特-朗讯(Alcatel-Lucent)公司的交换机产品。

多款Alcatel-Lucent OmniSwitch产品的Web管理界面中的sec/content/sec_asa_users_local_db_add.html文件存在跨站请求伪造漏洞。远程攻击者可通过发送特制的请求利用该漏洞创建用户。以下产品及版本受到影响:使用6.4.5.R02版本、6.4.6.R01版本、6.6.4.R01版本、6.6.5.R02版本、7.3.2.R01版本、7.3.3.R01版本、7.3.4.R01版本和8.1.1.R01版本固件的Alcatel-Lucent OmniSwitch 6450,6250,6850E,9000E,6400,6855,6900,10K,6860。

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

http://enterprise.alcatel-lucent.com/?product=OmniSwitch6450&page=overview

参考网址

来源:EXPLOIT-DB

链接:https://www.exploit-db.com/exploits/37261/

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/132236/Alcatel-Lucent-OmniSwitch-Web-Interface-Cross-Site-Request-Forgery.html

来源:www.redteam-pentesting.de

链接:https://www.redteam-pentesting.de/advisories/rt-sa-2015-004

来源:BUGTRAQ

链接:http://www.securityfocus.com/archive/1/archive/1/535732/100/0/threaded

来源:SECTRACK

链接:http://www.securitytracker.com/id/1032544

受影响实体

Alcatel-Lucent Omniswitch_firmware:8.1.1.R01 Alcatel-Lucent Omniswitch_firmware:7.3.4.R01 Alcatel-Lucent Omniswitch_firmware:7.3.3.R01 Alcatel-Lucent Omniswitch_firmware:7.3.2.R01 Alcatel-Lucent Omniswitch_firmware:6.6.5.R02

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201506-297

weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  1