漏洞信息详情
A-Link WL54AP3和WL54AP2跨站请求伪造和HTML注入漏洞
- CNNVD编号:CNNVD-200906-051
- 危害等级: 中危
- CVE编号: CVE-2008-6823
- 漏洞类型: 跨站请求伪造
- 发布时间: 2008-10-31
- 威胁类型: 远程
- 更新时间: 2009-06-11
- 厂 商: a-link
- 漏洞来源: Henri Lindberg※ he...
漏洞简介
A-Link WL54AP3和WL54AP2都是54M的无线宽带路由器 。 WL54AP3和WL54AP2路由器没有正确的验证HTTP请求的来源,如果用户受骗查看了恶意网页或跟随了恶意链接的话,就可能导致跨站请求伪造或跨站脚本攻击 。 成功攻击要求攻击者知道目标设备的管理接口地址(默认IP地址为192.168.1.254)。由于管理页面没有注销功能,及时已经关闭了包含有管理界面的标签页,只要没有关闭浏览器窗口或清除cookie,用户仍受这种攻击的影响 。
漏洞公告
目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.a-link.com/
参考网址
来源: MISC 链接:http://www.louhinetworks.fi/advisory/alink_081028.txt 来源: XF 名称: wl54ap3-wl54ap2-interface-csrf(46256) 链接:http://xforce.iss.net/xforce/xfdb/46256 来源: XF 名称: wl54ap3-wl54ap2-domain-name-xss(46255) 链接:http://xforce.iss.net/xforce/xfdb/46255 来源: BID 名称: 32008 链接:http://www.securityfocus.com/bid/32008 来源: BUGTRAQ 名称: 20081031 A-Link WL54AP3 and WL54AP2 CSRF+XSS vulnerability 链接:http://www.securityfocus.com/archive/1/archive/1/497997/100/0/threaded 来源: OSVDB 名称: 49465 链接:http://www.osvdb.org/49465 来源: MILW0RM 名称: 6899 链接:http://www.milw0rm.com/exploits/6899 来源: www.a-link.com 链接:http://www.a-link.com/WL54AP3.HTML 来源: SECUNIA 名称: 32421 链接:http://secunia.com/advisories/32421 来源: OSVDB 名称: 49466 链接:http://osvdb.org/49466
受影响实体
- A-Link Wl54ap2:1.2.0
- A-Link Wl54ap2:1.2.1
- A-Link Wl54ap3:1.4.1
- A-Link Wl54ap3:1.4.0
- A-Link Wl54ap3:1.2.8
补丁
暂无
评论