首頁 -> 安全研究

安全研究

安全漏洞
Computrols CBAS Web跨站請求偽造漏洞(CVE-2019-10847)

發布日期:2019-05-21
更新日期:2019-05-27

受影響系統:
Computrols CBAS Web 8
Computrols CBAS Web 7
Computrols CBAS Web 4
Computrols CBAS Web 3
Computrols CBAS Web 19
Computrols CBAS Web 18
Computrols CBAS Web 15
Computrols CBAS Web 14
不受影響系統:
Computrols CBAS Web 8.0.7
Computrols CBAS Web 7.2.1 Beta
Computrols CBAS Web 6.9.2
Computrols CBAS Web 4.8.2
Computrols CBAS Web 3.15.1
Computrols CBAS Web 19.0.1
Computrols CBAS Web 18.0.1
Computrols CBAS Web 15.0.1
Computrols CBAS Web 14.0.1
描述:
BUGTRAQ  ID: 108415
CVE(CAN) ID: CVE-2019-10847

Computrols Building Automation Software(CBAS)是Computrols推出的樓宇自動化系統軟件,旨在控制和監控HVAC、照明、訪問和火警系統,易于安裝、編程、維護和操作。
Computrols Building Automation Software Web存在一個跨站請求偽造漏洞。當Web服務器被設計為從客戶端接收請求而沒有任何機制來驗證它是否被有意發送時,攻擊者可能會欺騙客戶端向Web服務器發出無意的請求,該請求將被視為真實的請求。這可以通過URL、圖像加載、XMLHttpRequest等來完成,并且可能導致數據暴露或意外的代碼執行。

<*來源:Gjoko Krstic of Applied Risk
  *>

建議:
廠商補?。?br />
Computrols
----------
目前廠商已經發布了升級補丁以修復這個安全問題,請到廠商的主頁下載:

//www.computrols.com/building-automation-software/

瀏覽次數:1458
嚴重程度:0(網友投票)
本安全漏洞由綠盟科技翻譯整理,版權所有,未經許可,不得轉載
綠盟科技給您安全的保障