关键漏洞信息 应用名称: M/Monit 3.2.2 漏洞类型: 跨站请求伪造(CSRF) 漏洞描述: - 可以在无需知道当前密码的情况下重置任何用户账户(管理员/普通用户)的密码,由于缺少密码变更验证机制。 相关CVE编号: CVE-2014-6409, CVE-2014-6607 受影响版本: <= 3.2.2 概念证明(PoC): 缓解措施: - 软件供应商已确认问题,补丁可能在将来发布。 时间线: - 9月15日:发现漏洞。 - 9月15日:通知软件供应商。 - 9月15日:请求CVE。 - 9月17日:分配CVE。 - 9月18日:供应商确认安全问题,将在未来版本发布修复。 - 9月19日:公开披露。 发现者: Dolev Farhi,F5 Networks