| 概要 | Cross-site request forgery (CSRF) vulnerability in api/sms/send-sms in the Web UI 11.010.06.01.858 on Huawei E303 modems with software 22.157.18.00.858 allows remote attackers to hijack the authentication of administrators for requests that perform API operations and send SMS messages via a request element in an XML document. |
|---|---|
| 公表日 | 2014年6月3日4:55 |
| 登録日 | 2021年1月26日15:09 |
| 最終更新日 | 2024年11月21日11:07 |
| CVSS2.0 : MEDIUM | |
| スコア | 6.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | 低 |
| 全ての特権を取得 | いいえ |
| ユーザー権限を取得 | いいえ |
| その他の権限を取得 | いいえ |
| ユーザー操作が必要 | はい |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:huawei:webui:11.010.06.01.858:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:huawei:e303_modem_firmware:22.157.18.00.858:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:huawei:e303_modem:ch2e303sm:*:*:*:*:*:*:* | |||||
| タイトル | Huawei E303 におけるクロスサイトリクエストフォージェリの脆弱性 |
|---|---|
| 概要 | Huawei が提供する E303 には、クロスサイトリクエストフォージェリ (CWE-352) の脆弱性が存在します。 CWE-352: Cross-Site Request Forgery (CSRF) http://cwe.mitre.org/data/definitions/352.html |
| 想定される影響 | 細工されたページにアクセスすることによって、ユーザの意図しないSMS メッセージが送信される可能性があります。 |
| 対策 | 2014年6月2日現在、対策方法は不明です。 |
| 公表日 | 2014年5月30日0:00 |
| 登録日 | 2014年6月2日15:26 |
| 最終更新日 | 2014年6月4日17:55 |
| Huawei |
| E303 |
| E303 ファームウェア 22.157.18.00.858 |
| WEBUI 11.010.06.01.858 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2014年06月02日] 掲載 [2014年06月04日] 影響を受けるシステム:内容を更新 参考情報:National Vulnerability Database (NVD) (CVE-2014-2946) を追加 |
2018年2月17日10:37 |