漏洞起因
输入验证错误
危险等级
低
影响系统
HomeSeer HS2 2.5.0.20
不受影响系统
危害
远程攻击者利用漏洞获得信息或以管理员权限运行命令。
攻击所需条件
攻击者必须访问HomeSeer HS2 WEB接口。
漏洞信息
HomeSeer HS2是一个家庭自动化和远程访问软件套件,设计用于整合家庭中的系统。
HomeSeer HS2 WEB服务程序存在多个安全,HomeSeer HS2 2.5.0.20和之前版本包含的WEB接口存在目录遍历漏洞,允许远程攻击者访问WEB目录之外的文件。 此外HomeSeer HS2 2.5.0.20接口受存储和反射型跨站脚本漏洞,攻击者可以请求类似http://ipaddress/example的WEB页,使JavaScript存储在日志查看页面中。管理员查看日志文件可导致JavaScript在目标浏览器中执行。HomeSeer HS2 web接口也受跨站请求伪造攻击,成功的CSRFG攻击可使攻击者以管理员用户运行命令。
测试方法
厂商解决方案
目前没有详细解决方案提供:
http://www.homeseer.com/downloads/
漏洞提供者
Silent Dream
漏洞消息链接
http://www.kb.cert.org/vuls/id/796883
漏洞消息标题
VU#796883: HomeSeer HS2 web interface multiple vulnerabilities
0 条评论。