严重
锐捷EG网关 /ddi/server/fileupload.php 文件上传漏洞
披露时间:
2022-12-11
更新时间:
2024-08-26
CT 编号
CT-529878
CVE 编号
N/A
CNVD 编号
N/A
CNNVD 编号
N/A
原理分类
文件上传
漏洞评分
9.8
漏洞描述
锐捷EG网关存在文件上传漏洞,攻击者可以利用此漏洞上传任意文件并获取服务器权限
漏洞危害
- 上传恶意脚本文件到服务器中,通过访问该恶意文件从而执行文件中的恶意代码。
2. 攻击者可利用目录跳转上传 php、config 等文件,覆盖原有的系统文件,到达篡改系统文件、甚至获取系统权限的目的。
3. 攻击者可上传 html、shtm 等文件,并写入非法博彩、赌博等恶意 SEO 页面或者写入恶意 js 文件进行钓鱼来非法获取用户信息等。
修复方法
1.目前厂商已发布升级补丁以修复漏洞,升级包获取链接:
https://www.ruijie.com.cn/fw/rj/
通过以上链接,找到对应产品升级包下载
2.官网只提供部分产品软件,若未找到,请联系厂商售后或者技术服务热线电话4008-111-000申请获取相关补丁或者升级包
评分维度
长亭安全产品覆盖情况
雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统
漏洞时间线
POC 披露
2022-12-11
漏洞披露
2022-12-11
漏洞信息更新
2024-08-26
