Carlo Gavazzi SmartHouse Webapp CSRF/XSS漏洞公告

关键漏洞信息 漏洞概述 标题: Carlo Gavazzi SmartHouse Webapp 6.5.33 CSRF/XSS Vulnerabilities 公告ID: ZSL-2019-5543 类型: Local/Remote 影响: Cross-Site Scripting 风险: (3/5) 发布日期: 30.11.2019 漏洞描述 该应用存在多个CSRF和XSS漏洞。应用允许用户通过HTTP请求执行某些操作，但未进行任何有效性检查。攻击者可以利用此漏洞在用户访问恶意网站时执行某些具有管理员权限的操作。 受影响版本 Web-app: 6.5.33.17072501 Web-app: 6.5.32.17062101 Web-app: 6.2.3.16102701 Web-app: 5.5.3.160421101 Web-app: 5.3.3.15120101 发布版: 1.0.5.1 发布版: 1.0.5.0 发布版: 1.0.3.5 发布版: 1.0.3.2 测试环境 Apache PHP 厂商状态 2019年11月1日: 发现漏洞。 2019年11月15日: 联系厂商。 2019年11月29日: 厂商无响应。 2019年11月30日: 发布公共安全公告。 证明概念(PoC) smartthouse_csrfxss.txt 参考链接 1. Exploit-DB 2. PacketStormSecurity 3. XForce 4. XForce 发现者 Gjoko Krstic -

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Carlo Gavazzi SmartHouse Webapp CSRF/XSS漏洞公告

目标达成感谢每一位支持者 — 我们达成了 100% 目标！