|
>>网络安全 |
|
碉堡堡垒机后台存在两处任意文件上传漏洞
|
碉堡堡垒机后台存在两处任意文件上传漏洞
CNVD-ID |
CNVD-2017-25413 |
录入时间 |
2017-08-22 |
危害级别 |
高危 评分:9 |
报送时间 |
2017-08-22 |
产生原因 |
设计错误 |
归档时间 |
2017-09-06 |
引发威胁 |
管理员访问权限获取 |
公开时间 |
2017-10-09 |
攻击位置 |
远程 |
发现时间 |
2017-08-22 |
影响对象类型 |
网络设备漏洞 |
是否热点漏洞 |
否 |
涉及厂商 |
北京维方通信息技术有限公司 |
影响产品 |
北京维方通信息技术有限公司 碉堡堡垒机 v2.26 |
漏洞描述 |
碉堡堡垒机是业内第一款软件形态的堡垒机,提供了远程运维管理所需要的集中身份认证、集中访问授权、集中访问管理、集中操作审计以及简化操作和管理的单点功能。 碉堡堡垒机后台系统设置“工作流设置”和“系统升级功能”存在两处任意文件上传漏洞,允许攻击者上传webshell,获得服务器权限。 |
参考链接 |
|
临时解决方案 |
文件上传做白名单,并随机化文件名 |
解决方案 |
厂商尚未提供漏洞修补方案,请关注厂商主页及时更新: http://www.baoleiji.com |
厂商补丁 |
碉堡堡垒机CMS存在任意文件上传漏洞 |
补丁编号 |
CNPD-2017-100784 |
补丁描述 |
CNVD确认并复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。 |
补丁链接 |
无 |
验证信息 |
验证完成 |
|
|
|