正文

Rapid7 Metasploit Express、Community和Pro 跨站请求伪造漏洞

admin
admin V管理员 /0 评论 /11 阅读
0113
此篇文章发布距今已超过1210天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Rapid7 Metasploit Express、Community和Pro 跨站请求伪造漏洞

  • CNNVD编号:CNNVD-201701-423
    • <!--
  • 危害等级: 低危-->
  • 危害等级: 低危
  • CVE编号: CVE-2017-5244
  • 漏洞类型: 跨站请求伪造
  • 发布时间: 2017-01-17
  • 威胁类型: 远程
  • 更新时间: 2019-10-17
  • 厂        商: rapid7
  • 漏洞来源:

漏洞简介

Rapid7 Metasploit是美国Rapid7公司的一款开源的安全漏洞检测工具。Metasploit Express、Community和Pro分别是不同的版本。

Rapid7 Metasploit 中存在跨站请求伪造漏洞,该漏洞源于程序没有充分的执行跨站请求保护。远程攻击者可通过诱使已认证的用户执行JavaScript利用该漏洞停止正在运行的Metasploit任务。以下版本受到影响:Metasploit Express 4.14.0之前的版本;Metasploit Community 4.14.0之前的版本;Metasploit Pro 4.14.0之前的版本。

漏洞公告

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

http://www.metasploit.com/

参考网址

来源:MISC

链接:https://www.seekurity.com/blog/general/metasploit-web-project-kill-all-running-tasks-csrf-CVE-2017-5244/

来源:BID

链接:https://www.securityfocus.com/bid/99082

来源:CONFIRM

链接:https://community.rapid7.com/community/metasploit/blog/2017/06/15/r7-2017-16-cve-2017-5244-lack-of-csrf-protection-for-stopping-tasks-in-metasploit-pro-express-and-community-editions-fixed

受影响实体

  • Rapid7 Metasploit:4.13.19  
    <!--
    2000-1-1
    -->

补丁

  • Rapid7 Metasploit Express、Community和Pro 跨站请求伪造漏洞的修复措施
    <!--
    2017-1-17
    -->