安全预警-华为HiLink产品存在CSRF漏洞
- 预警编号:Huawei-SA-20140806-01-HiLink
- 初始发布时间: 2014年08月06日
- 更新发布时间: 2014年11月20日
某些华为HiLink产品存在CSRF安全漏洞。当用户使用这些产品访问包含恶意脚本的网站时,恶意脚本可以非法访问这些产品,修改其配置或利用其功能 (漏洞编号: HWPSIRT-2014-0243)。
此漏洞的CVE编号为:CVE-2014-5395。|
产品名称 |
版本号 |
修复产品版本号 |
|
E3276 |
E3276s-150TCPU-22.265.03.00.00 |
E3276sTCPU-V200R002B470D13SP00C00 |
|
E3236 |
E3236s-2TCPU-22.146.29.00.00 |
E3236sTCPU-V200R002B146D41SP00C00 |
|
E5180s-22 |
E5180s-22TCPU-21.270.05.01.00 |
E5180s-22B710C0update_21.270.21.00.00.gz |
|
E586Bs-2 |
E586Bs-2TCPU-21.322.08.00.889 |
E586Bs-2TCPU-21.322.10.00.889 |
攻击者可能修改产品配置或利用产品功能,如发送短信。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:5.1(AV:N/AC:H/Au:N/C:P/I:P/A:P)
临时得分:4.2 (E:F/RL:O/RC:C)
攻击者创建包含恶意脚本的网站,并诱骗使用相关产品的用户访问。 用户进入网站并执行了恶意脚本后,恶意脚本可以从用户的个人计算机向设备发送非法POST请求,修改设备的配置,或者使用设备的某些功能。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由瑞典网络安全研究者Andreas Lindh发现,后继又由Juraj Kosik报告。华为应急响应团队并没有知悉该漏洞的任何恶意利用。
华为公司对于Andreas Lindh和Juraj Kosik关注华为产品的安全表示感谢。对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2014-11-20 V1.3 UPDATE 更新版本修复信息
2014-11-14 V1.2 UPDATE 更新版本修复信息
2014-08-25 V1.1 UPDATE 增加CVE-ID信息
2014-08-06 V1.0 INITIAL
无
