当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Serena Dimensions CM跨站请求伪造漏洞

     发表日期:2014-03-04 14:13:00

Serena Dimensions CM跨站请求伪造漏洞

BugTraq-ID:65981

CVE-ID:CVE-2014-0336

 

受影响系统:

SERENA Software Inc Serena Dimensions CM

详细信息:

 

Serena Dimensions CM是基于进程的软件更改和配置管理解决方案。

 

 

 

Serena Dimensions CM 12.2 Build 7.199.0及其他版本的Web客户端存在跨站请求伪造漏洞,这可使远程攻击者通过adminconsole/ URI的user_new_master 参数,利用该漏洞劫持管理员身份验证请求,获取管理员权限。

 

 

来源:

Ken Cijsouw

参考信息:

http://www.kb.cert.org/vuls/id/823452

 

解决办法:

厂商补丁:

 

SERENA Software Inc

-------------------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

 

 

 

http://www.serena.com/index.php/en/products/featured-products/dimensions-cm/

 

 

 

参考:

 

 

 

http://cwe.mitre.org/data/definitions/79.html

 

http://cwe.mitre.org/data/definitions/352.html

 

http://www.serena.com/index.php/en/products/featured-products/dimensions-cm/