漏洞关键信息 漏洞ID CVE-2014-2225 漏洞类型 Cross-site Request Forgery (CSRF) 影响产品及版本 UniFi Controller v2.4.6 mFi Controller v2.0.15 AirVision Controller v2.1.3 注意: 之前版本可能也受影响 描述 该漏洞允许攻击者通过CSRF攻击,利用受影响的UniFi产品生成和发送恶意请求。详细信息和PoC代码以HTML和JavaScript形式提供。 漏洞影响 攻击者可以通过CSRF攻击向受影响的产品发送恶意请求,可能造成未授权的操作,如添加管理员账户等。 解决方案 UniFi Controller: 升级到v3.2.1或更高版本 mFi Controller: 升级到v2.0.24或更高版本 AirVision Controller: 升级到UniFi Video v3.0.1或更高版本(应用名称从AirVision变更为UniFi Video) 披露时间线 2014-02-16: 通知Ubiquiti在UniFi和mFi产品中的漏洞 2014-02-17: Ubiquiti确认并请求详细信息;与Ubiquiti建立了联系并发送了PoC 2014-02-19: 请求Ubiquiti确认收到报告;Ubiquiti确认收到报告并验证了漏洞的存在 2014-02-25: 通知Ubiquiti在AirVision产品中的CSRF漏洞;Ubiquiti确认收到AirVision报告并验证了漏洞的存在 2014-02-28: CVE-2014-2225被分配 2014-03-12: 请求状态更新 2014-03-27: 请求状态更新 2014-04-07: 再次请求状态更新,提及可能需要引入CERT 2014-04-09: Ubiquiti提供了解决方案的时间线 2014-04-18: UniFi Video 3.0.1发布 2014-05-30: 请求关于剩余两个产品的状态更新 2014-06-12: 请求关于剩余两个产品的状态更新;mFi v2.0.24和UniFi 3.2.1发布 2014-06-13: 设定公共披露日期为2014-07-24并通知厂商 2014-07-24: 公共披露