发布日期：2011-12-12
更新日期：2011-12-13

受影响系统：

homeseer HomeSeer HS2 2.5.0.20

描述：

---

BUGTRAQ  ID: 50978
CVE(CAN) ID: CVE-2011-4835,CVE-2011-4836,CVE-2011-4837

HomeSeer HS2是高级家庭自动化和远程访问软件包。

HomeSeer HS2家庭自动软件网络服务器在实现上存在多个安全漏洞，远程攻击者可能利用这些漏洞读取服务器上的任意文件或在用户系统上执行恶意脚本代码。

服务器网络接口中的目录遍历漏洞可使攻击者访问网络目录之外的文件，还有存储和反射XSS漏洞，攻击者可请求诸如 http://ipaddress/example<script>alert(document.cookie)</script> 的网页，造成在日志查看器页中存储JavaScript，当管理员或用户查看该日志文件时，即在其浏览器会话中执行JavaScript。HomeSeer HS2的网络接口还在/ctrl URL中存在CSRF攻击，导致远程执行命令。

<*来源：Silent Dream
  
  链接：http://www.kb.cert.org/vuls/id/796883
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 禁止访问可疑主机或网络。

厂商补丁：

homeseer
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.homeseer.com/downloads/

浏览次数：2346
严重程度：0（网友投票）