安全预警-华为E355中的XSS安全漏洞
- 预警编号:Huawei-SA-20141011-01-E355
- 初始发布时间: 2014-10-11
- 更新发布时间: 2014-10-11
华为3G移动Wi-Fi设备E355中存在存储型跨站脚本(stored cross-site scripting, XSS)安全漏洞。攻击者可以利用这个漏洞将恶意脚本嵌入设备的配置文件,干扰合法用户的运行。(Vulnerability ID: HWPSIRT-2014-0516)
此漏洞的CVE编号为:CVE-2014-2968。
|
产品名称 |
版本号 |
修复产品版本号 |
|
E355 |
Software version: 21.157.37.01.910 |
Software version: 22.158.45.02.910 |
通过对漏洞的利用,攻击者可以在有限程度上干扰用户对系统的正常使用。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:5.1 (AV:N/AC:H/Au:N/C:P/I:P/A:P)
临时得分:4.2 (E:F/RL:O/RC:C)
1. 前提条件:
1) 攻击者能访问到设备的LAN端口.
2) 攻击时,必须有合法用户处于登陆状态.
2. 攻击步骤:
华为3G移动Wi-Fi设备E355中存在存储型跨站脚本(stored cross-site scripting, XSS)安全漏洞。攻击者通过向设备发送特定构造的HTTP POST请求报文,可以将恶意脚本嵌入设备的配置文件,干扰合法用户的运行。
当漏洞被利用,其造成的效果是在合法用户访问设备的Web页面时,产生诸如弹出消息框等干扰用户正常使用的行为。这些脚本受限于其运行权限,不能修改设备配置,也不能向非法用户泄漏信息。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由Jimson K James发现。华为应急响应团队并没有知悉该公告所描述的对该漏洞的任何公开声明或者恶意使用。
在此,华为公司对 Jimson K James对华为公司产品的关注表示感谢。对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2014-10-11 V1.0 INITIAL
无
