Teradek Cube 7.3.6 CSRF修改密码漏洞 (ZSL-2018-5464)

漏洞关键信息 漏洞标题: Teradek Cube 7.3.6 CSRF Change Password Exploit Advisory ID: ZSL-2018-5464 漏洞类型: Local/Remote 影响: Cross-Site Scripting 风险等级: 3/5 发布日期: 21.05.2018 漏洞描述 该应用程序接口允许用户通过HTTP请求执行某些操作，而无需进行任何有效性检查来验证请求。如果登录用户访问恶意网站，这可以被利用以管理员权限执行某些操作。 目标版本 Firmware Version: 7.3.6 (build 26850) Hardware Version: 1.5 Teradek Firmware Version 7.3.15 测试环境 lighttpd/1.4.31 厂商状态 2018-03-02: 漏洞被发现。 2018-05-08: 联系厂商。 2018-05-08: 厂商回复请求更多细节。 2018-05-08: 将细节发送给厂商。 2018-05-10: 向厂商询问状态更新。 2018-05-13: 厂商无回应。 2018-05-14: 再次向厂商询问状态更新。 2018-05-20: 厂商无回应。 2018-05-21: 公共安全通告发布。 PoC teradek_cube_csrf.html 发现者 Gjoko Krstic - 参考链接 1. X-Force 2. Packetstorm 3. Exploit-DB 4. CXSecurity

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Teradek Cube 7.3.6 CSRF修改密码漏洞 (ZSL-2018-5464)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！