漏洞起因
设计错误
危险等级
低
影响系统
Symantec LiveUpdate Administrator 2.2.2.9
不受影响系统
Symantec LiveUpdate Administrator 2.3
危害
远程攻击者可以利用漏洞劫持管理员会话。
攻击所需条件
攻击者必须访问Symantec LiveUpdate Administrator。
漏洞信息
Symantec LiveUpdate Administrator是一款Symantec产品升级管理程序。
Symantec’s LiveUpdate Administrator的管理登录GUI页面没有正确过滤或验证外部输入的变量,可导致一个跨站请求伪造漏洞。
在正常安装下,受影响的管理接口不能通过外部网络访问。经过授权的恶意网络攻击者可以提交恶意请求,诱使管理员登录管理接口GUI查看日志文件触发此漏洞。
测试方法
厂商解决方案
Symantec LiveUpdate Administrator 2.3已经修复此漏洞,建议用户下载使用:
http://www.symantec.com/
漏洞提供者
Nikolas Sotiriu
0 条评论。