漏洞信息详情

A-Link WL54AP3和WL54AP2跨站请求伪造和HTML注入漏洞

• CNNVD编号：CNNVD-200906-051
• 危害等级： 中危
  
• CVE编号： CVE-2008-6823
• 漏洞类型： 跨站请求伪造
• 发布时间： 2008-10-31
• 威胁类型： 远程
• 更新时间： 2009-06-11
• 厂        商： a-link
• 漏洞来源： Henri Lindberg※ he...

漏洞简介

A-Link WL54AP3和WL54AP2都是54M的无线宽带路由器 。 WL54AP3和WL54AP2路由器没有正确的验证HTTP请求的来源，如果用户受骗查看了恶意网页或跟随了恶意链接的话，就可能导致跨站请求伪造或跨站脚本攻击 。 成功攻击要求攻击者知道目标设备的管理接口地址(默认IP地址为192.168.1.254)。由于管理页面没有注销功能，及时已经关闭了包含有管理界面的标签页，只要没有关闭浏览器窗口或清除cookie，用户仍受这种攻击的影响 。

漏洞公告

目前厂商还没有提供补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.a-link.com/

参考网址

来源: MISC 链接:http://www.louhinetworks.fi/advisory/alink_081028.txt 来源: XF 名称: wl54ap3-wl54ap2-interface-csrf(46256) 链接:http://xforce.iss.net/xforce/xfdb/46256 来源: XF 名称: wl54ap3-wl54ap2-domain-name-xss(46255) 链接:http://xforce.iss.net/xforce/xfdb/46255 来源: BID 名称: 32008 链接:http://www.securityfocus.com/bid/32008 来源: BUGTRAQ 名称: 20081031 A-Link WL54AP3 and WL54AP2 CSRF+XSS vulnerability 链接:http://www.securityfocus.com/archive/1/archive/1/497997/100/0/threaded 来源: OSVDB 名称: 49465 链接:http://www.osvdb.org/49465 来源: MILW0RM 名称: 6899 链接:http://www.milw0rm.com/exploits/6899 来源: www.a-link.com 链接:http://www.a-link.com/WL54AP3.HTML 来源: SECUNIA 名称: 32421 链接:http://secunia.com/advisories/32421 来源: OSVDB 名称: 49466 链接:http://osvdb.org/49466

受影响实体

• A-Link Wl54ap2:1.2.0  
• A-Link Wl54ap2:1.2.1  
• A-Link Wl54ap3:1.4.1  
• A-Link Wl54ap3:1.4.0  
• A-Link Wl54ap3:1.2.8  

补丁

暂无