| 厂商 |  |
| 产品 | NetGain EM FreeEdition |
| 受影响的版本 | v10.0.9b51及之前版本 |
| 测试版本 | v10.0.9b51 |
| 厂商通知日期 | 2018-08-02 |
| 预警公告日期 | 2018-07-20【无技术细节】 |
| 厂商确认日期 | 无 |
| 厂商修复日期 | 无 |
| 公开披露日期 | 无 |
| 最新修正日期 | 2018-05-20 |
| CVE ID | CVE-2018-10587 |
| 产品描述 | NetGain是一款IT监控软件。它提供了业内最全面的监测范围之一。NetGain 系统于2002年发布,是IT监控和保护业务的先驱,并在新加坡,中国,印度尼西亚,泰国,马来西亚和澳大利亚都建立了支持团队。 |
| 发现者 | Enrico Winata, 安全研究员和渗透测试人员@zteaude group
Tan Peng Fei Eddie, 安全研究员和渗透测试人员@zteaude group Tan Peng Fei Eddie,安全研究员和渗透测试人员@zteaude group |
漏洞描述
| 远程命令执行漏洞 | |||
| 严重程度: 危险 | CVSS 分数: 9.1 | CWE-ID: CWE-78 | 状态: 未修复 |
| 漏洞详情 | |||
| NetGain EM上运行的Web应用程序受操作系统命令注入漏洞影响,该漏洞影响版本10.0.9以及之前的版本。攻击者可以使用shell元字符来修改执行的命令并注入服务器执行任意命令。此漏洞可能会导致托管应用程序的服务器或应用程序自己的数据和功能遭到破坏。也可以将服务器用作针对其他系统的攻击平台。 | |||
| CVSS基准分 | |||
| 攻击媒介 | 网络 | 范围 | 变化 |
| 攻击复杂度 | 低 | 保密性影响 | 高 |
| 所需特权 | 高 | 一致性影响 | 高 |
| 用户互动 | 无 | 可用性影响 | 高 |
详情
一旦厂商提供补丁,就会披露有关该漏洞的全面细节