SoftNAS Cloud OS命令注入漏洞安全通告
发布时间 2018-07-31
漏洞编号和级别
SoftNAS Cloud是一个软件定义的NAS文件管理器,作为在公共云,私有云或混合云中运行的虚拟存储设备提供。 SoftNAS Cloud提供企业级NAS功能,包括加密,快照,快速回滚和跨区域高可用性以及自动故障转移功能。
https://www.softnas.com
https://www.coresecurity.com/advisories/softnas-cloud-os-command-injection
https://0day.city/cve-2018-14417.html
CVE-2018-14417 厂商自评:高 CVSS分值:官方未评定
SoftNAS Cloud version < 4.0.3
SoftNAS Cloud是一个软件定义的NAS文件管理器,作为在公共云,私有云或混合云中运行的虚拟存储设备提供。 SoftNAS Cloud提供企业级NAS功能,包括加密,快照,快速回滚和跨区域高可用性以及自动故障转移功能。
当地时间7月26日,SoftNAS Cloud被曝出存在1个OS命令注入漏洞(CVE-2018-14417)。该漏洞源于web管理员控制台中的snserv脚本没有安全的过滤接受到的输入参数,导致攻击者可以在系统中执行命令。
POC:https://0day.city/cve-2018-14417.html
SoftNAS官方已经发布了最新的4.0.3修复了上述漏洞,受影响的用户可以在产品中存储中心(SotrageCenter)的管理员界面进行升级。
https://www.softnas.com
https://www.coresecurity.com/advisories/softnas-cloud-os-command-injection
https://0day.city/cve-2018-14417.html
京公网安备11010802024551号