【漏洞预警】关于拓尔思-MAS存在远程命令执行漏洞的安全公告

admin 2022年4月29日00:09:17评论1,249 views字数 513阅读1分42秒阅读模式

关于拓尔思-MAS存在远程命令执行漏洞的安全公告

【漏洞预警】关于拓尔思-MAS存在远程命令执行漏洞的安全公告


2022年4月28日,监测到拓尔思-MAS存在远程命令执行漏洞,远程攻击者可利用该漏洞写入恶意命令导致远程命令执行漏洞。

一、漏洞描述

STRS MAS是基于移动互联网时代音视频的使用特点,推出的一套通用型媒资管理系统。

二、影响范围

用户认证:不需要用户认证

触发方式:远程

配置方式:默认

影响版本:拓尔思-MAS

不受影响版本:目前已停止更新

利用难度:极低,无需授权即可远程命令执行

威胁等级:严重,能造成远程代码执行

综合评估漏洞利用难度极低,利用要求较少,影响范围很大,危害极其严重,且已经被黑客公开利用持续全网扫描,根据网络安全要求,需要紧急修复。

三、安全建议

删除测试页面:

/sysinfo/testCommandExecutor.jsp(细品,不过目前40个只有一个可以直接利用)

四、在野利用

本人未作测试,目前整理为部分师傅验证结果(app: "TRS-MAS"):

【漏洞预警】关于拓尔思-MAS存在远程命令执行漏洞的安全公告【漏洞预警】关于拓尔思-MAS存在远程命令执行漏洞的安全公告【漏洞预警】关于拓尔思-MAS存在远程命令执行漏洞的安全公告

【漏洞预警】关于拓尔思-MAS存在远程命令执行漏洞的安全公告

不要随意测试,几乎百分之九十是ZF站点

不要随意测试,几乎百分之九十是ZF站点

不要随意测试,几乎百分之九十是ZF站点

- END -


原文始发于微信公众号(安全圈小王子):【漏洞预警】关于拓尔思-MAS存在远程命令执行漏洞的安全公告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月29日00:09:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】关于拓尔思-MAS存在远程命令执行漏洞的安全公告http://cn-sec.com/archives/960486.html

发表评论

匿名网友 填写信息