CUJO Smart Firewall 任意脚本执行漏洞安全通告
发布时间 2019-03-25漏洞编号和级别
CVE编号: CVE-2018-4031,危险级别:严重, CVSS分值:厂商自评:9.0,官方未评定
影响范围
受影响版本:
CUJO Smart Firewall 7003
漏洞概述
CUJO Smart Firewall是美国CUJO公司的一款家庭智能防火墙设备。
CUJO Smart Firewall 7003固件版本,安全浏览功能在解析HTTP请求中存在安全漏洞。服务器主机名是从捕获的HTTP / HTTPS请求中提取的,并作为Lua语句的一部分插入而无需事先清理,这会导致内核中的任意Lua脚本执行。攻击者可通过发送HTTP请求,利用该漏洞在内核中执行任意的Lua脚本。
漏洞利用
此漏洞POC:https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0703。
修复建议
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载https://www.getcujo.com/smart-firewall-cujo/。
参考链接
https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0703
京公网安备11010802024551号