Vulnerabilidad en la interfaz web en Kaspersky Anti-Virus para Linux File Server (CVE-2017-9810)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
17/07/2017
Última modificación:
20/04/2025
Descripción
No existen tokens Anti-CSRF en ningún formulario en la interfaz web en Kaspersky Anti-Virus para Linux File Server anterior al paquete de mantenimiento 2 corrección crítica 4 (versión 8.0.4.312). Esto permitiría a un atacante enviar peticiones autenticadas cuando un usuario autenticado navega en un dominio controlado por un atacante.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:kaspersky:anti-virus_for_linux_server:*:*:*:*:*:*:*:* | 8.0.3.297 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/143190/Kaspersky-Anti-Virus-File-Server-8.0.3.297-XSS-CSRF-Code-Execution.html
- http://seclists.org/fulldisclosure/2017/Jun/33
- http://www.securityfocus.com/bid/99330
- http://www.securitytracker.com/id/1038798
- https://www.coresecurity.com/advisories/kaspersky-anti-virus-file-server-multiple-vulnerabilities
- https://www.exploit-db.com/exploits/42269/
- http://packetstormsecurity.com/files/143190/Kaspersky-Anti-Virus-File-Server-8.0.3.297-XSS-CSRF-Code-Execution.html
- http://seclists.org/fulldisclosure/2017/Jun/33
- http://www.securityfocus.com/bid/99330
- http://www.securitytracker.com/id/1038798
- https://www.coresecurity.com/advisories/kaspersky-anti-virus-file-server-multiple-vulnerabilities
- https://www.exploit-db.com/exploits/42269/