aqgg
安全公告

漏洞名称

StoneOS配置文件上传功能存在任意文件上传漏洞

发布时间

2024-11-04

漏洞描述

StoneOS 配置文件上传功能存在任意文件上传漏洞。该漏洞由于系统配置文件上传时未对压缩文件的文件路径做检查,直接解压文件,导致任意文件上传。具有管理员权限的攻击者可通过上传包含路径目录遍历序列(如 ../../)的压缩包,覆盖或写入任意系统文件。

漏洞编号:HSVD-2024-0021

第三方编号:无

漏洞级别

中危

漏洞来源

外部报送

影响和修复

受影响版本及修复版本:

产品 受影响版本 修复版本
StoneOS 5.5R4P14,5.5R6P7,5.5R8,5.5R7P4,5.5R7F4及之后的版本 5.5R8P22.1,5.5R10P8, 5.5R11P1.4,5.5R11P2
IDA 4.0及之前版本 4.1
IFW 4.0及之前版本 4.1
BDS 3.3及之前版本 5.3.8
IPS 4.0及之后版本 5.3.8
ADC 3.0及之后版本 4.1.1

修补及防护方案

通过升级版本修复。

联系我们

针对此漏洞问题及详细解决方案,可以联系yd12300云顶集团技术支持热线电话400-828-6655及专业化服务人员、售前技术人员。

反馈yd12300云顶集团产品和解决方案安全问题,请反馈至云顶集团PSIRT邮箱PSIRT@hillstonenet.com,yd12300云顶集团尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并遵守相关法律法规处理产品安全问题。

yd12300云顶集团,为您的安全竭尽全力!