正文

PRTG Network Monitor 19.1.49及更低版本中存在“写入磁盘中的任意位置”漏洞,攻击者可以利用此权限将文件放置在具有SYSTEM特权的任意位置(尽管不控制此类文件的内容)

admin
admin V管理员 /0 评论 /20 阅读
0419
此篇文章发布距今已超过1116天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2019-11074

利用情况

暂无

补丁情况

N/A

披露时间

2020-03-18
漏洞描述
PRTG网络监视器19.1.49及以下存在一个写入到磁盘任意位置的漏洞,该漏洞允许攻击者使用系统特权(尽管不控制这些文件的内容)将文件放置在任意位置,原因是在传递参数给phantomjs.exe二进制文件时清理不足。为了利用这个漏洞,远程认证管理员需要创建一个新的HTTP完整Web页面传感器,并在执行传感器时进行特定的设置。
解决建议
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://www.paessler.com/
参考链接
https://how2itsec.blogspot.com/2019/10/security-fixes-in-prtg-1935152.html
https://sensepost.com/blog/2019/being-stubborn-pays-off-pt.-1-cve-2018-19204/
https://www.paessler.com/prtg/history/stable
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 paessler network_monitor * Up to
(including)
19.1.49
CVSS3评分 7.2
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 高
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 高
  • 保密性 高
  • 完整性 高
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-434 危险类型文件的不加限制上传