安全预警 – VCM视频内容管理系统用户存在横向越权漏洞
- 预警编号:Huawei-SA-20151125-01-VCM
- 初始发布时间: 2015-11-25
- 更新发布时间: 2015-11-25
华为VCM(Video Content Management)视频内容管理系统对登录用户进行身份和权限验证处理不当而导致用户横向越权,攻击者可以发送恶意构造的消息给服务器对其他用户创建的案件进行非法操作,影响其他用户的操作和使用。(漏洞编号:HWPSIRT-2015-07043)
此漏洞的CVE编号为:CVE-2015-8332。
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/security/psirt/security-bulletins/security-advisories/hw-462984.htm
|
产品名称 |
版本号 |
修复版本号 |
|
VCM |
V100R001C10B010 |
V100R001C10SPC001 |
攻击者可以对其他用户创建的案件进行修改等操作。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:6.0 (AV:N/AC:M/Au:S/C:P/I:P/A:P)
临时得分:5.0 (E:F/RL:OF/RC:C)
1. 前提条件:
攻击者必须可以以正常用户登录VCM。
2. 攻击步骤:
登录客户端后,发送恶意构造的消息给服务器对其他用户的案例进行操作或修改。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2015-11-25 V1.0 INITIAL
无
