一、 漏洞 CVE-2022-30280 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在诺基亚NetAct22中,/SecurityManagement/html/createuser.jsf 允许远程攻击者创建具有任意权限的用户。攻击者可以创建用户,甚至具有管理权限。应用程序(即使它为随机GET请求实现了一个 CSRF 令牌)从未验证过 CSRF 令牌。在一点 social engineering/ phishing(例如通过电子邮件或聊天发送链接)的协助下,攻击者可能诱骗应用程序的用户执行攻击者选择的行动。如果受害者是一个普通的用户,一个成功的 CSRF 攻击可以将用户强制执行状态更改请求,例如转移资金,更改其电子邮件地址等。如果受害者是管理员账户, CSRF 可以破坏整个应用程序。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
跨站请求伪造(CSRF)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
/SecurityManagement/html/createuser.jsf in Nokia NetAct 22 allows CSRF. A remote attacker is able to create users with arbitrary privileges, even administrative privileges. The application (even if it implements a CSRF token for the random GET request) does not ever verify a CSRF token. With a little help of social engineering/phishing (such as sending a link via email or chat), an attacker may trick the users of a web application into executing actions of the attacker's choosing. If the victim is a normal user, a successful CSRF attack can force the user to perform state changing requests like transferring funds, changing their email address, and so forth. If the victim is an administrative account, CSRF can compromise the entire web application.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Nokia NetAct 跨站请求伪造漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Nokia NetAct是芬兰诺基亚(Nokia)公司的一个网络管理系统。 Nokia NetAct 22版本存在安全漏洞,该漏洞源于文件createuser.jsf存在跨站请求伪造(CSRF)漏洞。攻击者可利用该漏洞创建具有任意权限的用户。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站请求伪造
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-30280 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2022-30280 的情报信息
- https://www.telecomitalia.com/tit/it/innovazione/cybersecurity/red-team.html
-
标题: Gruppo TIM | Vulnerability Research & Advisor -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2022-30280