从网页截图中获取到的关于漏洞的关键信息如下: 漏洞标题: - Teradek VidiU Pro 3.0.3 CSRF Change Password Exploit 基本属性: - 漏洞编号: ZSL-2018-5460 - 类型: Local/Remote - 影响: Cross-Site Scripting (跨站脚本攻击) - 风险等级: 3/5 - 发布日期: 21.05.2018 简介: - Teradek VidiU应用程序接口允许用户通过HTTP请求执行某些操作,而未进行任何有效性检查来验证请求。如果登录用户访问了恶意网站,该漏洞可以被利用以执行具有管理权限的某些操作。 供应商信息: - Teradek, LLC - https://www.teradek.com 受影响版本: - VidiU, VidiU Mini, VidiU Pro - 3.0.3 (build 32136) - 3.0.2 (build 32225) - 2.4.10 测试平台: - lighttpd/1.4.48 - lighttpd/1.4.31 供应商处理状态: - 02.03.2018:发现漏洞 - 08.05.2018:联系供应商 - 08.05.2018:供应商回复需更多详细信息 - 08.05.2018:向供应商发送详细信息 - 08.05.2018:向供应商询问状态更新 - 10.05.2018:供应商无回应 - 13.05.2018:再次向供应商询问状态更新 - 14.05.2018:供应商无回应 - 20.05.2018:再次向供应商询问状态更新 - 20.05.2018:供应商无回应 - 21.05.2018:发布公共安全公告 概念验证代码: - teradek_vidiu_csrf.html 致谢: - 漏洞由Gjoko Krstic发现 - 参考链接: - 1 - 2 - 3 - 4 变更日志: - 21.05.2018:首次发布 - 29.05.2018:添加参考链接 [1]、[2]、[3] 和 [4] 联系信息: - Zero Science Lab - 网站:http://www.zeroscience.mk - 电子邮件:lab@zeroscience.mk