NetGain EM 远程命令执行漏洞

时间:2018-7-4 分享到:
厂商 NetGain EM 远程命令执行漏洞
产品 NetGain EM FreeEdition
受影响的版本 v10.0.9b51及之前版本
测试版本 v10.0.9b51
厂商通知日期 2018-05-02
预警公告日期 2018-04-30【无技术细节】
厂商确认日期
厂商修复日期
公开披露日期
最新修正日期 2018-04-30
CVE ID CVE-2018-10587
产品描述 NetGain是一款IT监控软件。它提供了业内最全面的监测范围之一。NetGain 系统于2002年发布,是IT监控和保护业务的先驱,并在新加坡,中国,印度尼西亚,泰国,马来西亚和澳大利亚都建立了支持团队。
发现者 Enrico Winata,  安全研究员和渗透测试人员@wizlynx group

Tan Peng Fei Eddie, 安全研究员和渗透测试人员@wizlynx group

Tan Peng Fei Eddie,安全研究员和渗透测试人员@wizlynx group

 

漏洞描述


    远程命令执行漏洞
    严重程度: 危险     CVSS 分数: 9.1     CWE-ID: CWE-78     状态: 未修复
    漏洞详情
    NetGain EM上运行的Web应用程序受操作系统命令注入漏洞影响,该漏洞影响版本10.0.9以及之前的版本。攻击者可以使用shell元字符来修改执行的命令并注入服务器执行任意命令。此漏洞可能会导致托管应用程序的服务器或应用程序自己的数据和功能遭到破坏。也可以将服务器用作针对其他系统的攻击平台。
    CVSS基准分
    攻击媒介     网络     范围     变化
    攻击复杂度     低     保密性影响     高
    所需特权     高     一致性影响     高
    用户互动     无     可用性影响     高

详情


一旦厂商提供补丁,就会披露有关该漏洞的全面细节

 

版权所有:http://www.wizlynxgroup.cn 转载请注明出处