多款Alcatel-Lucent OmniSwitch产品跨站请求伪造漏洞
| CNNVD-ID编号 | CNNVD-201506-297 | CVE编号 | CVE-2015-2805 |
| 发布时间 | 2015-06-17 | 更新时间 | 2015-06-17 |
| 漏洞类型 | 跨站请求伪造 | 漏洞来源 | N/A |
| 危险等级 | 中危 | 威胁类型 | 远程 |
| 厂商 | alcatel-lucent | ||
漏洞介绍
Alcatel-Lucent OmniSwitch 6450等都是法国阿尔卡特-朗讯(Alcatel-Lucent)公司的交换机产品。
多款Alcatel-Lucent OmniSwitch产品的Web管理界面中的sec/content/sec_asa_users_local_db_add.html文件存在跨站请求伪造漏洞。远程攻击者可通过发送特制的请求利用该漏洞创建用户。以下产品及版本受到影响:使用6.4.5.R02版本、6.4.6.R01版本、6.6.4.R01版本、6.6.5.R02版本、7.3.2.R01版本、7.3.3.R01版本、7.3.4.R01版本和8.1.1.R01版本固件的Alcatel-Lucent OmniSwitch 6450,6250,6850E,9000E,6400,6855,6900,10K,6860。
漏洞补丁
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://enterprise.alcatel-lucent.com/?product=OmniSwitch6450&page=overview
参考网址
来源:EXPLOIT-DB
链接:https://www.exploit-db.com/exploits/37261/
来源:packetstormsecurity.com
来源:www.redteam-pentesting.de
链接:https://www.redteam-pentesting.de/advisories/rt-sa-2015-004
来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/archive/1/535732/100/0/threaded
来源:SECTRACK
链接:http://www.securitytracker.com/id/1032544
受影响实体
Alcatel-Lucent Omniswitch_firmware:8.1.1.R01 Alcatel-Lucent Omniswitch_firmware:7.3.4.R01 Alcatel-Lucent Omniswitch_firmware:7.3.3.R01 Alcatel-Lucent Omniswitch_firmware:7.3.2.R01 Alcatel-Lucent Omniswitch_firmware:6.6.5.R02信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201506-297
评论