一、漏洞描述
邁普ISG1000-MSG4000安(ān)全網關系統-sys_capture_file_download模塊存在命令執行漏洞和命令執行的漏洞原理(lǐ)(sys_capture_file_delete)相似;
在webui/modules/system/capture.mds中(zhōng),g參數為(wèi)sys_capture_file_delete時,會調用(yòng)到/sbin/xmld二進制中(zhōng)的xml_capture_file_del函數。
二、受影響的産(chǎn)品、版本和修複方案
産(chǎn)品型号 |
受影響版本 |
修複版本 |
MSG4000系列 |
4.5.8.110 4.5.220 4.5.0.1-4.5.0.6 |
4.5.0.7 |
ISG1000系列 |
3.6.6.213 4.2.1.150 4.5.0.1-4.5.0.10 |
4.5.0.11 4.5.0.11.x |
修複方案:
MSG4000升級至目标版本:4.5.0.7
ISG1000系列升級至目标版本4.5.0.11、4.5.0.11.x
三、漏洞評分(fēn)和風險等級
高危
四、規避措施
禁止外網訪問設備,如有(yǒu)必要,可(kě)以禁用(yòng)外網接口的http、https相關服務(wù),并盡快升級。
五、漏洞來源
工(gōng)業和信息化部網絡安(ān)全威脅和漏洞信息共享平台
六、更新(xīn)記錄
時間 |
更新(xīn)記錄 |
2024.3.13 |
初始版本 |
七、聯系我們
有(yǒu)任何關于此次漏洞修複的疑問,可(kě)通過以下方式聯系:
客戶服務(wù)熱線(xiàn):400-886-8669
官方網站:www.maipu.com.cn