漏洞信息详情
Netgear RT314/RT311 Gateway Router跨站执行脚本漏洞
- CNNVD编号:CNNVD-200205-070
- 危害等级: 高危
- CVE编号: CVE-2002-0238
- 漏洞类型: 输入验证
- 发布时间: 2002-02-03
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: netgear
- 漏洞来源: sq [email protected]
漏洞简介
Netgear\'\'s RT314是种四口路由器,适合家庭或者小型办公网使用。 为了方便用户配置,Netgear RT314 Gateway Router(3.25及其以前版本)上运行着一个 WEB Server(ZyXEL-RomPager/3.02)。但是这个WEB Server存在跨站执行脚本漏洞,参 看两年前的CERT CA-2000-02。 假设攻击者知道路由器内部IP,就可以想法让路由器管理员访问如下URL http://<route internal ip>/<script>alert(\'\'Vulnerable\'\')</script> 其中的脚本经过精心设计,可获取路由器管理员用于身份验证的cookies。 Netgear RP114 Cable/DSL Web Safe Router不存在这个问题。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 禁止设备内置的HTTP、FTP和Telnet服务。然后重启路由器。 厂商补丁: Netgear ------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.netgear.com/
参考网址
来源: XF 名称: netgear-web-interface-CSS(8082) 链接:http://www.iss.net/security_center/static/8082.php 来源: BUGTRAQ 名称: 20020203 Netgear RT311/RT314 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101286360203461&w=2 来源: BID 名称: 4024 链接:http://www.securityfocus.com/bid/4024
受影响实体
- Netgear Rt314:3.25
- Netgear Rt314:3.22
- Netgear Rt314:3.24
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论