Компрометация системы в Unitrends Enterprise Backup

Дата публикации:
24.04.2014
Дата изменения:
24.04.2014
Всего просмотров:
850
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:A/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:2.9/Temporal:2.1
CVE ID:
Нет данных
Вектор эксплуатации:
Локальная сеть
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Unitrends Enterprise Backup 7.x
Уязвимые версии: Unitrends Enterprise Backup 7.3.0, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за недостаточной обработки входных данных в параметре HTTP GET "comm" в сценарии recoveryconsole/bpl/snmpd.php (когда "auth" установлен в "1:/usr/bp/logs.dir/gui_root.log:100", "type" установлен в "update", "gcv" установлен в "0", "sid" и "enabled" установлены в "1", "ver" установлен в "7.3.0" и "rx" установлен в "4335379").Удаленный пользователь может с помощью специально сформированных запросов выполнить произвольные команды на целевой системе.

URL производителя: http://www.unitrends.com/products/software

Решение: Установите исправление с сайта производителя.

Ссылки: https://gist.github.com/brandonprry/10745756

или введите имя

CAPTCHA