漏洞信息详情
Rapid7 Nexpose 跨站请求伪造漏洞
- CNNVD编号:CNNVD-201301-075
- 危害等级: 中危
- CVE编号: CVE-2012-6493
- 漏洞类型: 跨站请求伪造
- 发布时间: 2013-01-06
- 威胁类型: 远程
- 更新时间: 2014-02-12
- 厂 商: rapid7
- 漏洞来源: Robert Gilbert fro...
漏洞简介
Rapid7 Nexpose是美国Rapid7公司的一套能够综合利用不同的扫描结果深度探测网络的漏洞管理软件。该软件可主动扫描配置环境的错误、漏洞、恶意软件并提供指导降低风险。
Rapid7 Nexpose Security Console 5.5.1及之前的版本中存在跨站请求伪造漏洞。远程攻击者可通过发送请求到data/site/delete页面利用该漏洞删除扫描数据和网站。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://community.rapid7.com/docs/DOC-2155#release1
参考网址
来源: community.rapid7.com
链接:https://community.rapid7.com/docs/DOC-2155#release1
来源: EXPLOIT-DB
名称: 23924
链接:http://www.exploit-db.com/exploits/23924
来源: packetstormsecurity.com
链接:http://packetstormsecurity.com/files/119260/Nexpose-Security-Console-Cross-Site-Request-Forgery.HTML
来源: OSVDB
名称: 88923
链接:http://osvdb.org/88923
来源: BUGTRAQ
名称: 20130103 CVE-2012-6493 - Nexpose Security Console - Cross-Site Request Forgery (CSRF)
链接:http://archives.neohapsis.com/archives/bugtraq/2013-01/0014.HTML
来源: BID
名称: 57150
链接:http://www.securityfocus.com/bid/57150
受影响实体
- Rapid7 Nexpose:5.4
- Rapid7 Nexpose:5.4.1
- Rapid7 Nexpose:5.4.3
- Rapid7 Nexpose:5.4.2
- Rapid7 Nexpose:5.4.4
补丁
- NeXposeSetup-Linux64
- NeXposeSetup-Windows64
评论