阿里云漏洞库

低危 pcs跨站请求伪造漏洞

CVE编号

CVE-2016-0720

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-04-22

漏洞描述

PCS是一套利用命令行和Web UI来配置和管理Pacemaker和Corosync（集群软件）的工具。

pc存在跨站请求伪造漏洞，由于程序未能正确验证请求，远程攻击者可以利用漏洞执行某些未经授权的操作并访问受影响的应用程序。

解决建议

目前没有详细的解决方案提供：
https://www.microsoft.com/

参考链接
http://lists.fedoraproject.org/pipermail/package-announce/2016-March/178261.html
http://lists.fedoraproject.org/pipermail/package-announce/2016-March/178384.html
http://rhn.redhat.com/errata/RHSA-2016-2596.html
http://www.securityfocus.com/bid/97984
https://bugzilla.redhat.com/show_bug.cgi?id=1299614
https://github.com/ClusterLabs/pcs/commit/b9e7f061788c3b86a0c67d2d4158f067ec5eb625

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	clusterlabs	pcs	*		Up to (including) 0.9.148
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 0.9.149-1
	运行在以下环境
	系统	fedora_22	pcs	*		Up to (excluding) 0.9.149-1.fc22
	运行在以下环境
	系统	fedora_22	pcs-debuginfo	*		Up to (excluding) 0.9.149-1.fc22
	运行在以下环境
	系统	fedora_23	pcs	*		Up to (excluding) 0.9.149-1.fc23
	运行在以下环境
	系统	fedora_23	pcs-debuginfo	*		Up to (excluding) 0.9.149-1.fc23
	运行在以下环境
	系统	redhat_7	pcs	*		Up to (excluding) 0:0.9.152-10.el7
	运行在以下环境
	系统	ubuntu_16.04.7_lts	pcs	*		Up to (excluding) 0.9.149-1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-352	跨站请求伪造（CSRF）