漏洞信息详情
Linksys WAG54GS setup.cgi跨站脚本执行漏洞
- CNNVD编号:CNNVD-200707-072
- 危害等级: 中危
- CVE编号: CVE-2007-3574
- 漏洞类型: 跨站脚本
- 发布时间: 2007-06-27
- 威胁类型: 远程
- 更新时间: 2007-07-09
- 厂 商: linksys
- 漏洞来源: Adrian Pastor※ m12...
漏洞简介
Linksys WAG54GS是思科推出的一款无线ADSL路由器。
Linksys WAG54GS在处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在用户浏览器中执行恶意代码。
Linksys WAG54GS的setup.cgi脚本中没有正确地验证对devname、snmp_getcomm、snmp_setcomm和c4_trap_ip_参数的输入,如果攻击者访问了路由器的配置页面并提交了恶意的HTTP请求的话,就可以执行跨站脚本攻击,导致在用户浏览器会话中执行任意HTML和脚本代码。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接: http://www.linksys.com
参考网址
来源: MISC 链接:http://www.securityfocus.com/data/vulnerabilities/exploits/24682.HTML 来源: BID 名称: 24682 链接:http://www.securityfocus.com/bid/24682 来源: BUGTRAQ 名称: 20080301 The Router Hacking Challenge is Over! 链接:http://www.securityfocus.com/archive/1/archive/1/489009/100/0/threaded 来源: MISC 链接:http://www.gnucitizen.org/projects/router-hacking-challenge/ 来源: MISC 链接:http://www.gnucitizen.org/blog/persistent-xss-and-csrf-on-wireless-g-adsl-gateway-with-speedbooster-wag54gs/
受影响实体
- Linksys Wag54gs:1.00.06
补丁
暂无
评论