多款Huawei产品输入验证漏洞

CVE编号

CVE-2017-2722

利用情况

暂无

补丁情况

N/A

披露时间

2017-11-23

漏洞描述

华为DP300等都是中国华为（Huawei）公司的产品。DP300是一款视频会议终端。eSpace 7950是中国华为（Huawei）公司的一款智能IP视频话机产品。
多款Huawei产品中存在输入验证漏洞，该漏洞源于程序缺少输入验证。远程攻击者可通过制造畸形的数据包并发送到设备上利用该漏洞造成拒绝服务或执行任意代码。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20170419-01-pse-cn

参考链接
http://www.huawei.com/en/psirt/security-advisories/huawei-sa-20170419-01-pse-en

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	huawei	dp300_firmware	v500r002c00	-
	运行在以下环境
	系统	huawei	ecns210_td_firmware	v100r004c10	-
	运行在以下环境
	系统	huawei	espace_7950_firmware	v200r003c00	-
	运行在以下环境
	系统	huawei	espace_7950_firmware	v200r003c30	-
	运行在以下环境
	系统	huawei	espace_iad_firmware	v300r001c07spca00	-
	运行在以下环境
	系统	huawei	espace_iad_firmware	v300r002c01spcb00	-
	运行在以下环境
	系统	huawei	espace_u1981_firmware	v100r001c20	-
	运行在以下环境
	系统	huawei	espace_u1981_firmware	v100r001c30	-
	运行在以下环境
	系统	huawei	espace_u1981_firmware	v200r003c00	-
	运行在以下环境
	系统	huawei	espace_u1981_firmware	v200r003c20	-
	运行在以下环境
	系统	huawei	espace_u1981_firmware	v200r003c30	-
	运行在以下环境
	系统	huawei	te60_firmware	v100r001c01	-
	运行在以下环境
	系统	huawei	te60_firmware	v100r001c10	-
	运行在以下环境
	系统	huawei	te60_firmware	v100r003c00	-
	运行在以下环境
	系统	huawei	te60_firmware	v500r002c00	-
	运行在以下环境
	系统	huawei	te60_firmware	v600r006c00	-
	运行在以下环境
	系统	huawei	tp3106_firmware	v100r001c06	-
	运行在以下环境
	系统	huawei	tp3106_firmware	v100r002c00	-
	运行在以下环境
	系统	huawei	viewpoint_9030_firmware	v100r011c02	-
	运行在以下环境
	系统	huawei	viewpoint_9030_firmware	v100r011c03	-
	运行在以下环境
	硬件	huawei	dp300	-	-
	运行在以下环境
	硬件	huawei	ecns210_td	-	-
	运行在以下环境
	硬件	huawei	espace_7950	-	-
	运行在以下环境
	硬件	huawei	espace_iad	-	-
	运行在以下环境
	硬件	huawei	espace_u1981	-	-
	运行在以下环境
	硬件	huawei	te60	-	-
	运行在以下环境
	硬件	huawei	tp3106	-	-
	运行在以下环境
	硬件	huawei	viewpoint_9030	-	-
查看完整数据

CVSS3评分 8.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-20 输入验证不恰当