首頁 > 安全研究 > 安全通報 > 安全通告

rConfig 中兩個遠程代碼執行 0day 漏洞安全通告

發布時間 2019-11-04

漏洞編號和級別


CVE編號:CVE-2019-16662,危險級別:高危,CVSS分值:官方未評定

CVE編號:CVE-2019-16663,危險級別:高危,CVSS分值:官方未評定


影響版本


這兩個漏洞影響所有 rConfig 版本,包括最新版本3.9.2


漏洞概述


rConfig是用PHP編寫的開源網絡設備配置工具,根據該項目的網站,rConfig被用于管理超過330萬個網絡設備。


安全研究人員在rConfig工具中發現兩個未修復的關鍵RCE漏洞,并披露了相關PoC。這兩個漏洞包括ajaxServerSettingsChk.php中未經身份驗證的RCE(CVE-2019-16662)和search.crud.php中經過身份驗證的RCE(CVE-2019-16663)。攻擊者可通過GET參數訪問文件并在目標服務器上執行惡意命令。


漏洞驗證


POC:https://shells.systems/rconfig-v3-9-2-authenticated-and-unauthenticated-rce-cve-2019-16663-and-cve-2019-16662/。





修復建議


目前這兩個漏洞均未發布補丁。建議用戶在補丁發布前臨時從服務器中將其刪除。


參考鏈接


https://shells.systems/rconfig-v3-9-2-authenticated-and-unauthenticated-rce-cve-2019-16663-and-cve-2019-16662/

上一篇 下一篇