๐ EMC ViPR SRM bis 3.6 Cross Site Request Forgery [CVE-2016-0891]
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 82722
Betroffen: EMC ViPR SRM bis 3.6
Veröffentlicht: 20.04.2016
Risiko: problematisch
Erstellt: 21.04.2016
Eintrag: 66.2% komplett
Beschreibung
Es wurde eine Schwachstelle in EMC ViPR SRM bis 3.6 gefunden. Sie wurde als problematisch eingestuft. Es geht dabei um eine unbekannte Funktion. Mit der Manipulation mit einer unbekannten Eingabe kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. Dies wirkt sich aus auf die Integrität. CVE fasst zusammen:
Multiple cross-site request forgery (CSRF) vulnerabilities in administrative pages in EMC ViPR SRM before 3.7 allow remote attackers to hijack the authentication of administrators.
Die Schwachstelle wurde am 20.04.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2016-0891 geführt. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Ein Upgrade auf die Version 3.7 vermag dieses Problem zu beheben.CVSS
Base Score: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N) [?]
Temp Score: 4.4 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:emc:vipr_srm:3.0
- cpe:/a:emc:vipr_srm:3.1
- cpe:/a:emc:vipr_srm:3.2
- cpe:/a:emc:vipr_srm:3.3
- cpe:/a:emc:vipr_srm:3.4
- cpe:/a:emc:vipr_srm:3.5
- cpe:/a:emc:vipr_srm:3.6
Exploiting
Klasse: Cross Site Request Forgery
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $5k-$10k (0-day) / $1k-$2k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: ViPR SRM 3.7
Timeline
20.04.2016 | Advisory veröffentlicht
21.04.2016 | VulDB Eintrag erstellt
21.04.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-0891 (mitre.org) (nvd.nist.org) (cvedetails.com)
...