A-A-S服务器跨站脚本伪装请求和默认账号口令漏洞
来源:岁月联盟
时间:2009-05-20
Klinzmann A-A-S 2.0.48
描述:
A-A-S(Application Access Server)是一个免费的远程管理工具,允许使用基于WEB的客户端通过Internet启动或停止应用或服务。
A-A-S的index.aas页面存在多个跨站请求伪造漏洞,如果用户查看了恶意网页的话,远程安全者就可以通过HTTP请求执行任意程序或终止服务或请求。
A-A-S默认安装了一个管理帐号,该账号使用了默认的wildbat口令且启用了所有的安全权限;此外A-A-S未经加密便将口令和端口口令以base64字符串的形式储存在了安装目录的aas.ini文件中。
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.klinzmann.name/a-a-s/index_en.html