

企業網絡産(chǎn)品: 交換機; 路由器; 安(ān)全; WLAN; 語音産(chǎn)品; 分(fēn)流器; SDN控制器; 應用(yòng)軟件; POL

商(shāng)業網絡産(chǎn)品: 交換機; 無線(xiàn)和網關; 應用(yòng)軟件; 安(ān)全; 網橋; 雲平台

智慧家庭: 家寬路由器; 智能(néng)組網

雲計算: 智能(néng)網卡; 應用(yòng)交付; RDMA交換機; IB交換機; 服務(wù)器

國(guó)家信創戰略

中(zhōng)國(guó)電(diàn)子信創生态布局

邁普信創成果

主要信創生态夥伴

技(jì )術支持: 産(chǎn)品FAQ; 技(jì )術文(wén)檔下載; 安(ān)全公(gōng)告

服務(wù)體(tǐ)系: 體(tǐ)系介紹; 服務(wù)産(chǎn)品

培訓&認證: 技(jì )術培訓體(tǐ)系; 技(jì )術認證證書查詢; 認證體(tǐ)系更名(míng)通知

自助服務(wù): 産(chǎn)品報修及查詢; 産(chǎn)品生命周期查詢; License獲取; 其他(tā)問題

授權服務(wù)商(shāng)驗證: 認證服務(wù)合作(zuò)夥伴驗證

算力網絡: 算力中(zhōng)心網絡; 算力互連網絡; 算力接入網絡

行業方案: 金融; 黨政; 運營商(shāng); 能(néng)源&交通; 商(shāng)業（邁普大麥）

合作(zuò)夥伴專區(qū): 渠道政策; 渠道分(fēn)類; 線(xiàn)上申請; 項目報備; 返利查詢; 訂單查詢; B2C項目下單; 合作(zuò)夥伴門戶

夥伴賦能(néng): 線(xiàn)上培訓通知; 售前售後技(jì )術認證

合作(zuò)動态: 合作(zuò)動态

商(shāng)業專區(qū): 商(shāng)業夥伴政策; 商(shāng)業産(chǎn)品; 商(shāng)業解決方案

邁普概況: 公(gōng)司簡介; 發展曆程; 榮譽資質(zhì)

新(xīn)聞動态: 公(gōng)司新(xīn)聞

聯系我們: 客戶服務(wù)熱線(xiàn); 公(gōng)司總部; 運營中(zhōng)心; 研發中(zhōng)心（成都）; 研發中(zhōng)心（武漢）; 生産(chǎn)基地; 代表處一覽

加入我們: 社會招聘; 校園招聘; 我在邁普

MSG4000産(chǎn)品API模塊遠(yuǎn)程命令執行漏洞公(gōng)告

嚴重程度:高危 CVE編号:NA  2024-03-15

一、漏洞描述

該漏洞位于邁普防火牆的API模塊中(zhōng)。本質(zhì)為(wèi)未授權接口調用(yòng)。其中(zhōng)，未授權接口中(zhōng)存在危險系統調用(yòng)函數未過濾參數，導緻未授權命令注入漏洞，進而被控制整個系統。

漏洞根源為(wèi)CaptureObj.php 文(wén)件下的第85行代碼。在檢測文(wén)件不存在的時候，也進行了一個拷貝命令，但是文(wén)件名(míng)稱參數為(wèi)進行過濾，導緻命令注入漏洞發生。

二、受影響的産(chǎn)品、版本和修複方案

産(chǎn)品型号

受影響版本

修複版本

MSG4000系列

4.5.8.110

4.5.9.220

4.5.0.1-4.5.0.3

4.5.0.4-4.5.0.7

修複方案：

升級至4.5.0.4、4.5.0.5、4.5.0.6、4.5.0.7版本

三、漏洞評分(fēn)和風險等級

高危

四、規避措施

禁止外網訪問設備，如有(yǒu)必要，可(kě)以禁用(yòng)外網接口的http、https相關服務(wù)，并盡快升級。

五、漏洞來源

工(gōng)業和信息化部網絡安(ān)全威脅和漏洞信息共享平台

六、更新(xīn)記錄

時間	更新(xīn)記錄
2024.3.13	初始版本

七、聯系我們

有(yǒu)任何關于此次漏洞修複的疑問，可(kě)通過以下方式聯系：

客戶服務(wù)熱線(xiàn)：400-886-8669

郵箱：support@maipu.com

官方網站：www.maipu.com.cn

上一篇丨 MSG4000-ISG1000産(chǎn)品sys_capture_file_delete模塊存在命令執行漏洞公(gōng)告

下一篇丨關于邁普網絡設備弱口令漏洞的公(gōng)告

了解更多(duō) 

