关键漏洞信息 漏洞标识 - Bastille Tracking Number: 35 - CVE 2017-9491 - CVE 2017-9492 漏洞描述 - 标签: 不正确的Cookie标志 - 严重性: 低 - 概述: 当应用程序使用的cookie未使用定义的安全标志时,会发生不正确的cookie标志。 影响的平台 - Cisco DPC3939, firmware version dpc3939-P20-18-v303r20421733-160420a-CMCST - Cisco DPC3939, firmware version dpc3939-P20-18-v303r20421746-170221a-CMCST - Cisco DPC3939B, firmware version dpc3939b-v303r204217-150321a-CMCST - Cisco DPC3941T, firmware version DPC3941_2.5s3_PROD_sey - Arris TG1682G, eMTA&DOCSIS version 10.0.132.SIP.PC20.CT, software version TG1682_2.2p7s2_PROD_sey 概念验证 - 打开浏览器并导航到受影响的调制解调器的登录页面(通常是http://10.0.0.1)。 - 登录应用程序。 - 打开浏览器的开发者工具控制台,导航到可以查看cookie内容的位置。 测试环境 - Cisco DPC3939, firmware version dpc3939-P20-18-v303r20421746-170221a-CMCST - Cisco DPC3939B, firmware version dpc3939b-v303r204217-150321a-CMCST - Arris TG1682G, eMTA&DOCSIS version 10.0.132.SIP.PC20.CT, software version TG1682_2.2p7s2_PROD_sey 预防措施 - 配置调制解调器管理应用程序以启用适当的cookie上的HTTP only标志。 推荐修复措施 - N/A 归功于 - Marc Newlin 和 Logan Lamb, Bastille - Chris Grayson, Web Sight.IO