漏洞信息详情
Symantec LiveUpdate Administrator跨站请求伪造漏洞
- CNNVD编号:CNNVD-201103-325
- 危害等级: 中危
- CVE编号: CVE-2011-0545
- 漏洞类型: 跨站请求伪造
- 发布时间: 2011-03-29
- 威胁类型: 远程
- 更新时间: 2011-03-29
- 厂 商: symantec
- 漏洞来源:
漏洞简介
Symantec LiveUpdate Administrator是赛门铁克公司开发的实时更新管理程序。
Symantec LiveUpdate Administrator(LUA)2.3之前版本的adduser.do中存在跨站请求伪造漏洞。远程攻击者可利用此漏洞执行非授权的操作。
应用程序的管理界面允许用户通过HTTP请求执行某些操作,而不进行验证检查以验证请求,可以通过诱使管理员在登录到应用程序时查看恶意网站执行任意命令。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110321_00
参考网址
来源: XF
名称: symantec-lua-gui-csrf(66213)
链接:http://xforce.iss.net/xforce/xfdb/66213
来源: VUPEN
名称: ADV-2011-0727
链接:http://www.vupen.com/english/advisories/2011/0727
来源: www.symantec.com
链接:http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110321_00
来源: BUGTRAQ
名称: 20110322 NSOADV-2011-001: Symantec LiveUpdate Administrator CSRF vulnerability
链接:http://www.securityfocus.com/archive/1/archive/1/517109/100/0/threaded
来源: OSVDB
名称: 71261
链接:http://www.osvdb.org/71261
来源: EXPLOIT-DB
名称: 17026
链接:http://www.exploit-db.com/exploits/17026
来源: sotiriu.de
链接:http://sotiriu.de/adv/NSOADV-2011-001.txt
来源: SECTRACK
名称: 1025242
链接:http://securitytracker.com/id?1025242
来源: SECUNIA
名称: 43820
链接:http://secunia.com/advisories/43820
来源:NSFOCUS 名称:16618 链接:http://www.nsfocus.net/vulndb/16618 来源:NSFOCUS 名称:16645 链接:http://www.nsfocus.net/vulndb/16645
受影响实体
- Symantec Liveupdate_administrator:2.2.2.9
补丁
暂无
评论