CVE-2022-50804CVE-2022-50804是JM-DATA公司生产的ONU设备JF511-TV(固件版本1.0.67)中存在的跨站请求伪造(CSRF)安全漏洞。该漏洞的CVSS评分为8.8,属于高危级别。攻击者可以利用此漏洞构造恶意网页或链接,诱使已认证的管理员用户在不知情的情况下向目标设备发送HTTP请求。由于设备在处理管理操作时未对请求来源进行有效验证,攻击者可以绕过身份验证机制,以管理员权限执行任意管理操作,包括但不限于修改网络配置、重置设备参数、创建后门账户等。此漏洞的利用需要用户交互(UI:R),攻击者必须诱导已登录用户访问恶意内容。由于该设备通常部署在运营商网络侧,一旦被攻击成功,可能导致大规模用户网络中断或数据泄露风险。
JM-DATA ONU JF511-TV的管理Web界面存在CSRF漏洞,攻击者可以通过构造包含管理操作参数的HTML表单来实现攻击。该设备的管理接口缺乏对请求令牌(CSRF Token)的验证机制,也未实施Referer或Origin检查来验证请求来源。攻击者可以创建一个包含自动提交表单的恶意网页,当管理员访问时,浏览器会自动向设备发送携带有效会话Cookie的管理请求。攻击向量为网络远程(AV:N),无需认证(PR:N)即可发起攻击,但需要用户交互(UI:R)来触发。由于攻击利用的是浏览器与设备之间的正常HTTP通信,防火墙等传统边界设备难以检测此类攻击。攻击者通常利用此漏洞执行设备配置修改、关闭安全功能或植入持久性后门。