漏洞详情
| CNVD编号 | CNVD-2017-03990 |
|---|---|
| 漏洞标题 | 北京维方通信息技术有限公司碉堡堡垒机存在S2-045远程命令执行漏洞 |
| 严重等级 | 高 |
| 影响产品 | 北京维方通信息技术有限公司 碉堡堡垒机 2.23 |
| 漏洞类型 | 通用软硬件漏洞 |
| 发现时间 | 2017-03-31 |
| 公开时间 | 2017-05-16 |
| 发现者 | a10ooon3 |
| 解决方案 | 厂商尚未提供漏洞修补方案,请关注厂商主页及时更新: http://www.baoleiji.com/guanyudiaobao/index.jhtml |
| 漏洞描述 | 北京维方通信息技术有限公司碉堡堡垒机是提供了远程运维管理所需要的集中身份认证、集中访问授权、集中访问管理、集中操作审计以及简化操作和管理的单点功能。 北京维方通信息技术有限公司碉堡堡垒机基于JakartaMultipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值,可通过精心构造附带OGNL表达的URL导致远程代码执行。 |
返回漏洞库首页
