漏洞描述
网神SecGate 3600 防火墙(以下简称“防火墙”)是基于网神自主研发的SecOS安全系统, 并结合在防火墙产品上多年技术、经验积累的基础上研发的, 专门为政府、教育、金融、能源、军队、运营商、大中小型企业等用户的网络出口打造的高性能防火墙系统。防火墙可灵活部署在各种网络应用环境的边界,提供状态检测、NAT、VPN、IPS、行为管理、流量控制、用户认证等综合安全功能。防火墙采用了高性能、高稳定性的多核硬件架构,接口支持扩展,为用户提供高效、稳定、可扩展的安全保障,网神 SecGate 3600 防火墙 obj_app_upfile接口存在任意文件上传漏洞,攻击者通过构造特殊请求包即可获取服务器权限。
漏洞危害
1、执行任意代码:攻击者可以通过上传包含恶意代码的文件,执行任意代码并控制受害者的计算机或服务器,导致数据泄露、破坏或其他恶意行为。
2、篡改或删除数据:攻击者可以上传包含恶意代码的文件,并篡改或删除服务器上的重要文件或数据。
3、钓鱼攻击:攻击者可上传 html、shtm 等文件,并写入非法博彩、赌博等恶意 SEO 页面或者写入恶意 js 文件进行钓鱼来非法获取用户信息等。
修复方法
官方已发布安全修复版本,请及时升级至最新版本:
https://www.legendsec.com/newsec.php?up=2&cid=108
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2023-06-12
漏洞信息更新
2025-04-01
