首頁 > 安全研究 > 安全通報 > 安全通告

Dell EMC Storage Monitoring and Reporting反序列化代碼執行漏洞安全通告

發布時間 2019-12-02

漏洞編號和級別


CVE編號:CVE-2019-18580,危險級別:嚴重,CVSS分值:廠商自評:9.8,官方未評定


影響版本


Dell EMC Storage Monitoring and Reporting 4.3.1版本


漏洞概述


Dell EMC Storage Monitoring and Reporting是美國戴爾(Dell)公司的一套存儲性能監控軟件。該軟件提供存儲性能監控和報告生成等功能。


Dell EMC Storage Monitoring and Reporting 4.3.1版本中存在代碼問題漏洞。遠程攻擊者可通過發送特制的RMI請求利用該漏洞在目標主機上執行任意代碼。


Java RMI服務中存在特定缺陷,該服務默認情況下偵聽TCP端口52569。 該問題是由于缺乏對用戶提供的數據的正確驗證而導致的,這可能導致不信任數據的反序列化。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:https://www.dell.com/support/security/zh-cn/details/538977/DSA-2019-176-Dell-EMC-Storage-Monitoring-and-Reporting-SMR-Java-RMI-Deserialization-of-Untruste。


參考鏈接


https://www.zerodayinitiative.com/advisories/ZDI-19-996/


上一篇 下一篇