漏洞标题
N/A
漏洞描述信息
"在 Eye-Fi 1.1.2 版本的 WS-Proxy 中存在多个跨站点请求伪造(CSRF)漏洞,这允许远程攻击者通过通过 SOAPAction 参数(1) urn:SetOptions for autostart、(2) urn:SetDesktopSync for file upload、或(3) urn:SetFolderConfig 来修改配置的 requests 来窃取用户的验证信息。此外,攻击者还可以通过添加任意 Service Set Identifier (SSID) 来篡改图像上传。"
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple cross-site request forgery (CSRF) vulnerabilities in WS-Proxy in Eye-Fi 1.1.2 allow remote attackers to hijack the authentication of users for requests that modify configuration via a SOAPAction parameter of (1) urn:SetOptions for autostart, (2) urn:SetDesktopSync for file upload, or (3) urn:SetFolderConfig for file download location or modification of authentication credentials; and (4) urn:AddNetwork for adding an arbitrary Service Set Identifier (SSID) to hijack the image upload.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Eye-Fi 'WS-Proxy'多个跨站请求伪造漏洞
漏洞描述信息
Eye-Fi是一款操作便捷的相片分享软件。你可以用这款软件,来把你手机上的相片分享到网路上,或者显示在谷歌地图中。 Eye-Fi 1.1.2版本中的WS-Proxy存在多个跨站请求伪造漏洞。 远程攻击者可以借助一个(1)用于自动启动的urn:SetOptions、(2)用于文件上传的urn:SetDesktopSync或(3)用于文件下载或修改认证证书的urn:SetFolderConfig和(4)用于添加任意的Service Set Identifier(SSID)的urn:AddNetwork的SOA
CVSS信息
N/A
漏洞类别
跨站请求伪造