SevOne网络管理系统5.7.2.22 SQL注入/命令注入漏洞

SevOne网络管理系统5.7.2.22 SQL注入/命令注入漏洞

产品:SevOne网络管理系统(NMS)

易受攻击版本:5.7.2.22

固定版本:

CVE编号:

影响:严重

主页:https://www.sevone.com/

发现时间:2020-07-16

签字人:Calvin Phang(新加坡办事处)

漏洞咨询SEC实验室

SEC咨询的一个组成部分

欧洲|亚洲|北美

https://www.sec-consult.com

=======================================================================

供应商描述:

——————-

“SevOne提供现代监控和分析解决方案

需要监控他们今天、明天和以后的网络。SevOne简化

度量、流量和流遥测数据的提取和丰富

跨多供应商网络实现企业、运营商和托管服务

供应商将确保最佳的网络操作和性能。”

资料来源:https://www.sevone.com/company/about-us/

业务推荐:

————————

供应商没有响应我们的通信尝试,因此没有修补程序

可用。建议密切监视与NMS相关的任何活动。

由安全专业人员进行的深入安全分析

建议,因为软件可能会受到进一步的安全问题的影响。

漏洞概述/描述:

———————————–

为了利用已识别的安全问题,攻击者需要在

至少具有以下权限:“查看警报和管理设备”

取决于分配的角色。

1) Traceroute功能中的命令注入(经过身份验证的用户)

“中存在命令注入漏洞”traceroute.php”.

任何操作系统命令都可以由有权访问

“SNMP漫游”页面。这可能导致整个系统的妥协。

2) 多个SQL注入漏洞(经过身份验证的用户)

由于输入验证不足,应用程序允许注入

直接SQL命令。已识别的SQL注入漏洞可以

被有权访问“警报摘要”的经过身份验证的用户利用

和“警报存档”页面。

3) CSV公式注入漏洞(经过身份验证的用户)

应用程序的“设备管理器”页面有一个“CSV导出所有设备”

允许导出设备数据(名称、设备IP、对象、,

等等)作为CSV文件。在“Device Creator”页面上,可以

输入将嵌入导出的CSV文件中的恶意公式。

具有访问权限的经过身份验证的用户可以利用此漏洞进行攻击

“设备创建者”页面。

概念证明:

—————–
PoC已被删除,因为没有可用的修补程序,而且供应商没有响应。

易受攻击/测试的版本:

—————————–

SevOne网络管理系统(NMS)版本5.7.2.22已经过测试。

以前的版本也可能会受到影响。

供应商联系时间表:

————————

2020-08-04:通过infosec-cases@sevone.com;没有回应

2020-08-12:跟进供应商;无回应

2020-08-26:跟进供应商;无回应

2020-09-14:跟进供应商;无回应

2020-10-02:公开发布安全公告

解决方案:

———

供应商没有响应我们的通信尝试,因此没有修补程序

可用。

网站地址:https://www.hackzl.cn;发布者:hack之路,转转请注明出处:https://www.hackzl.cn/index.php/2020/10/08/sevone%e7%bd%91%e7%bb%9c%e7%ae%a1%e7%90%86%e7%b3%bb%e7%bb%9f5-7-2-22-sql%e6%b3%a8%e5%85%a5-%e5%91%bd%e4%bb%a4%e6%b3%a8%e5%85%a5%e6%bc%8f%e6%b4%9e/

发表评论

邮箱地址不会被公开。 必填项已用*标注