关于拓尔思-MAS存在远程命令执行、任意文件上传、SQL注入、敏感信息泄露等多个漏洞的安全公告

2022年5月1日13:31:57评论829 views1字数 456阅读1分31秒阅读模式

2022年4月30日，监测到拓尔思-MAS存在远程命令执行、任意文件上传、SQL注入、敏感信息泄露等多个漏洞，远程攻击者可利用上述漏洞写入恶意命令导致服务器沦陷进而内网横向渗透。

一、漏洞描述

STRS MAS是基于移动互联网时代音视频的使用特点，推出的一套通用型媒资管理系统。

用户认证：不需要用户认证

触发方式：远程

配置方式：默认

影响版本：拓尔思-MAS V5 V6

不受影响版本：拓尔思-MAS V6.1 rev 133841

利用难度：低

威胁等级：高

综合评估漏洞利用难度低，利用要求少，影响范围一般，危害高，根据网络安全要求，需要紧急修复。

三、安全建议

1.升级到最新版拓尔思-MAS V6.1 rev 133841。

2.删除测试文件夹 /mas/sysinfo/。

3.升级内置Apache Axis版本。

原文始发于微信公众号（利刃藏锋）：关于拓尔思-MAS存在远程命令执行、任意文件上传、SQL注入、敏感信息泄露等多个漏洞的安全公告

CVE-2024-27956 WordPress Automatic SQL注入漏洞可添加后台账号