CVE编号
CVE-2019-9945利用情况
暂无补丁情况
N/A披露时间
2019-03-24漏洞描述
SoftNAS Cloud 4.2.0和4.2.1允许远程命令执行。 NGINX默认配置文件具有检查以验证用户cookie的状态。如果未设置,则会将用户重定向到登录页面。可以为此cookie提供任意值,以便在没有有效用户凭据的情况下访问Web界面。如果客户未遵循SoftNAS部署最佳实践并将SoftNAS StorageCenter端口直接暴露给Internet,则此漏洞允许攻击者访问Webadmin界面以创建新用户或使用管理权限执行任意命令,从而危及平台和数据。解决建议
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:https://www.softnas.com/
参考链接 |
|
|---|---|
| https://www.digitaldefense.com/blog/2019-softnas-cloud-zero-day-blog/ |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | softnas | cloud | 4.2.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | softnas | cloud | 4.2.1 | - | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
还没有评论,来说两句吧...