导语
华云安一直持续跟进和研究前沿漏洞、复现和编写漏洞检测脚本(PoC),并赋能给自身产品。
根据近期漏洞爆发与华云安安全实验室研究情况,本周输出以下重要PoC漏洞检测脚本。涉及Hikvision、Gitlab、Tenda等监控设备、代码管理软件、网络设备等。其风险等级、危害程度等多为严重。
华云安以下产品具有同步支持以下漏洞的检测和验证或者利用的能力:
灵洞威胁与漏洞管理平台Ai.Vul
灵鉴弱点识别与检测系统Ai.Scan
灵刃智能化渗透攻防系统Ai.Bot
蚂蚁PoC漏洞扫描工具
猎鹰Exp漏洞利用工具
漏洞目录
1、HikvisionWebServer命令注入漏洞
2、Gitlab命令注入漏洞
3、Tenda路由器信息泄露漏洞
4、ApacheDruid认证绕过漏洞
5、CiscoHyperFlexHXDataPlatform命令注入漏洞
6、ZyxelNBG未授权漏洞
7、BuffaloWSR-DHPL2代码注入漏洞
8、Adobe-ColdFusion远程代码执行漏洞
01
CVE--
//基本信息
编号:CVE--
名称:HikvisionWebServer命令注入漏洞
等级:CRITICAL
CVSS:9.8
发布时间:-09-19
//漏洞描述及危害
HikvisionWebServer是中国海康威视(Hikvision)公司的一个Web服务器。用于解析协议,提供服务。海康威视部分产品中的web模块存在一个命令注入漏洞,由于对输入参数校验不充分,攻击者可以发送带有恶意命令的报文到受影响设备,成功利用此漏洞可以导致命令执行。
//影响范围
DS-2CVxxxx版本build日期在之前
DS-2CD1xxx版本build日期在之前
IPCxx版本build日期在之前
DS-IPC-Bxx版本build日期在之前
等78个版本
//解决方案
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁及时更新官方的安全补丁。补丁链接:
转载请注明:http://www.0431gb208.com/sjslczl/3115.html
