| Summary | Cross-site request forgery (CSRF) vulnerability in api/sms/send-sms in the Web UI 11.010.06.01.858 on Huawei E303 modems with software 22.157.18.00.858 allows remote attackers to hijack the authentication of administrators for requests that perform API operations and send SMS messages via a request element in an XML document. |
|---|---|
| Publication Date | June 3, 2014, 4:55 a.m. |
| Registration Date | Jan. 26, 2021, 3:09 p.m. |
| Last Update | Nov. 21, 2024, 11:07 a.m. |
| CVSS2.0 : MEDIUM | |
| Score | 6.8 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | 低 |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | はい |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:huawei:webui:11.010.06.01.858:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:huawei:e303_modem_firmware:22.157.18.00.858:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:huawei:e303_modem:ch2e303sm:*:*:*:*:*:*:* | |||||
| Title | Huawei E303 におけるクロスサイトリクエストフォージェリの脆弱性 |
|---|---|
| Summary | Huawei が提供する E303 には、クロスサイトリクエストフォージェリ (CWE-352) の脆弱性が存在します。 CWE-352: Cross-Site Request Forgery (CSRF) http://cwe.mitre.org/data/definitions/352.html |
| Possible impacts | 細工されたページにアクセスすることによって、ユーザの意図しないSMS メッセージが送信される可能性があります。 |
| Solution | 2014年6月2日現在、対策方法は不明です。 |
| Publication Date | May 30, 2014, midnight |
| Registration Date | June 2, 2014, 3:26 p.m. |
| Last Update | June 4, 2014, 5:55 p.m. |
| Huawei |
| E303 |
| E303 ファームウェア 22.157.18.00.858 |
| WEBUI 11.010.06.01.858 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2014年06月02日] 掲載 [2014年06月04日] 影響を受けるシステム:内容を更新 参考情報:National Vulnerability Database (NVD) (CVE-2014-2946) を追加 |
Feb. 17, 2018, 10:37 a.m. |