绿盟运维安全管理系统历史版本存在SQL注入漏洞
2023-09-08
【漏洞概述】
绿盟运维安全管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
【版本和修复方案】
| 产品名称 | 产品系统大版本 | 修复版本 | 修复包发布时间 |
|---|---|---|---|
| OSMS | V5.6R10F00* | V5.6R10F00SP16.patch | 2021-01-14 |
| V5.6R10F01* | V5.6R10F0X.Patch | 2021-01-14 | |
| V5.6R10F02*—V5.6R10F03* | V5.6R10F0X.Patch | 2021-01-14 | |
| V5.6R10F04及以上 | 不受影响 | —— | |
| 注:上述相关漏洞修复均已合入最新引擎升级版本,升级最新版本已不受相关漏洞影响 | |||
【影响后果】
通过此漏洞,攻击者可利用该漏洞获取数据库敏感信息,威胁内部业务安全。
【漏洞来源】
该漏洞由国家信息安全漏洞共享平台(CNVD)收录(CNVD-2023-65430)。CNVD漏洞公告地址:https://www.cnvd.org.cn/flaw
【补丁获取路径】
1、升级包获取链接如下:https://update.nsfocus.com/update/listSash
2、如您有任何问题或短期内无法升级需要规避方案,可联系我司技术支持热线(400-818-6868)或各区域代表处相关人员获取支持。
(特别提醒:请注意从官方站点进行升级包获取并注意升级包MD5校验,切勿从其他非官网地址进行升级文件下载)
【规避措施】
控制可访问设备管理地址的范围,可削减漏洞被利用风险。
海王捕鱼集团股份有限公司
2023年9月8日
