正文

TerraMaster TOS系统命令注入漏洞(CNVD-2019-00661)

admin
admin V管理员 /0 评论 /3 阅读
0105
此篇文章发布距今已超过1225天,您需要注意文章的内容或图片是否可用!
CNVD-ID CNVD-2019-00661 公开日期 2019-01-09 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品 TerraMaster TOS 3.1.03
CVE ID CVE-2018-13330
漏洞描述 TerraMaster TOS是美国铁威马(Terra Master)公司的一套基于Linux平台开发的存储服务器专用操作系统。该系统支持文件共享、云端数据同步、数据备份和虚拟化等功能。

TerraMaster TOS3.1.03版本中的ajaxdata.php文件存在系统命令注入漏洞,攻击者可在创建新群组过程中借助‘groupname’参数利用该漏洞执行系统命令。
漏洞类型 通用型漏洞 参考链接 https://nvd.nist.gov/vuln/detail/CVE-2018-13330
漏洞解决方案 厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://www.terra-master.com/global/tos/
厂商补丁 (无补丁信息) 验证信息 (暂无验证信息) 报送时间 2018-11-28 收录时间 2019-01-09 更新时间 2019-01-09 漏洞附件 (无附件)