SoftNAS Cloud 身份验证绕过漏洞安全通告
发布时间 2019-03-21漏洞编号和级别
CVE编号:暂无,危险级别:高危, CVSS分值:官方未评定
影响范围
受影响版本:
SoftNAS Cloud 4.2.0和4.2.1
漏洞概述
SoftNAS Cloud(R)数据存储平台中发现漏洞。NGINX默认配置文件具有检查以验证用户cookie的状态。如果未设置,则将用户重定向到登录页面。可以为此cookie提供任意值,以便在没有有效用户凭据的情况下访问Web界面。如果客户未遵循SoftNAS部署最佳实践并将SoftNAS StorageCenter(R)端口直接暴露给Internet,则此漏洞允许攻击者访问Webadmin界面以创建新用户或使用管理权限执行任意命令,从而危及平台和数据。
修复建议
目前厂商已发布解决上述漏洞的补丁,请更新至4.2.2版本。
参考链接
https://www.csoonline.com/article/3375199/softnas-cloud-0day-found-upgrade-asap.html#tk.rss_all
https://www.digitaldefense.com/blog/2019-softnas-cloud-zero-day-blog/
京公网安备11010802024551号