安全研究
安全漏洞
Systrome Networks ISG产品任意Shell命令注入漏洞(CVE-2019-7383)
发布日期:2019-07-16
更新日期:2019-07-16
受影响系统:Systrome Networks ISG-800W 1.1-R2.1 TRUNK-20181
Systrome Networks ISG-600H 1.1-R2.1 TRUNK-20181
Systrome Networks ISG-600C 1.1-R2.1 TRUNK-20181
不受影响系统:Systrome Networks ISG-800W 1.1-R2.1 TRUNK-20181
Systrome Networks ISG-600H 1.1-R2.1 TRUNK-20181
Systrome Networks ISG-600C 1.1-R2.1 TRUNK-20181
描述:
BUGTRAQ ID:
107035
CVE(CAN) ID:
CVE-2019-7383
Systrome Networks ISG是印度SYSTORME公司的一款集成安全网关设备。
含固件V1.1-R2.1_TRUNK-20181105.bin的Systrome Networks ISG-600C, ISG-600H和ISG-800W设备中存在任意Shell命令注入漏洞,该漏洞源于文件network/isp/isp_update_edit.php未对用户输入进行合理验证,导致通过des参数注入shell命令。本地攻击者可利用该漏洞以运行该应用程序的用户权限执行任意shell命令。
<*来源:Kaustubh Padwad
链接:
https://seclists.org/fulldisclosure/2019/Feb/32
*>
建议:
厂商补丁:
SECLISTS
--------
SECLISTS已经为此发布了一个安全公告(CVE-2019-7383)以及相应补丁:
CVE-2019-7383:KSA-Dev-003:CVE-2019-7383 : Remote Code Execution Via shell upload in all systorme ISG products
链接:
https://seclists.org/fulldisclosure/2019/Feb/32
补丁下载:
浏览次数:2508
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
