首頁 > 安全研究 > 安全通報 > 安全通告

SoftNAS Cloud 身份驗證繞過漏洞安全通告

發布時間 2019-03-21

漏洞編號和級別


CVE編號:暫無,危險級別:高危, CVSS分值:官方未評定


影響范圍


受影響版本: 

SoftNAS Cloud 4.2.04.2.1


漏洞概述


SoftNAS CloudR)數據存儲平臺中發現漏洞。NGINX默認配置文件具有檢查以驗證用戶cookie的狀態。如果未設置,則將用戶重定向到登錄頁面??梢詾榇?span>cookie提供任意值,以便在沒有有效用戶憑據的情況下訪問Web界面。如果客戶未遵循SoftNAS部署最佳實踐并將SoftNAS StorageCenterR)端口直接暴露給Internet,則此漏洞允許攻擊者訪問Webadmin界面以創建新用戶或使用管理權限執行任意命令,從而危及平臺和數據。


修復建議


目前廠商已發布解決上述漏洞的補丁,請更新至4.2.2版本。


參考鏈接


https://www.csoonline.com/article/3375199/softnas-cloud-0day-found-upgrade-asap.html#tk.rss_all

https://www.digitaldefense.com/blog/2019-softnas-cloud-zero-day-blog/

上一篇 下一篇