安全预警-多产品存在CSRF漏洞
- 预警编号:Huawei-SA-20140924-02-CSRF
- 初始发布时间: 2014年09月24日
- 更新发布时间: 2014年09月24日
华为多产品发现跨站请求伪造(CSRF)漏洞,包括FusionManager产品(Vulnerability ID: HWPSIRT-2014-0408)和防火墙USG系列产品 (Vulnerability ID: HWPSIRT-2014-0406)。
存在于设备网页的此类漏洞允许未认证的远程攻击者实施CSRF攻击。成功利用漏洞,攻击者可以对设备进行操作,影响用户正常业务以及实施其它恶意活动。
漏洞HWPSIRT-2014-0408的CVE编号为: CVE-2014-9136;漏洞HWPSIRT-2014-0406的CVE编号为: CVE-2014-9137。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
HWPSIRT-2014-0408:
基础得分:6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P)
临时得分:5.6 (E:F/RL:O/RC:C)
HWPSIRT-2014-0406:
基础得分:6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P)
临时得分:5.6 (E:F/RL:O/RC:C)
漏洞利用前提:
合法用户登录设备。
漏洞细节:
漏洞基于不完善的CSRF保护机制。通过诱导已登录用户点击恶意链接,攻击者可以以合法用户的权限向受影响设备提交任意请求。
无
受影响版本信息和修复信息:
|
产品名称 |
受影响的版本 |
修复版本 |
|
FusionManager |
All V100R002C03 versions |
V100R003C10SPC500 |
|
All V100R003C00 versions |
||
|
USG9500 |
V200R001C01SPC800 and earlier versions |
V200R001C01SPC900 |
|
All V300R001C00 versions |
V300R001C01SPC300 |
|
|
USG2100 |
V300R001C00SPC900 and earlier versions |
V300R001C10SPC200+SPH201 |
|
USG2200 |
V300R001C00SPC900 and earlier versions |
V300R001C10SPC200+SPH201 |
|
USG5100 |
V300R001C00SPC900 and earlier versions |
V300R001C10SPC200+SPH201 |
|
USG5500 |
V300R001C00SPC900 and earlier versions |
V300R001C10SPC200+SPH201 |
用户可以通过华为TAC (Huawei Technical Assistance Center) 或华为网站(http://support.huawei.com/enterprise/)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由华为工程师发现。华为应急响应团队并没有知悉该公告所描述的对该漏洞的任何公开声明或者恶意使用。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2014-09-24 V1.0 INITIAL
无
