漏洞修复

 

安全漏洞修复 —星网锐捷语音网关SVG6008 WEB用户权限许可和访问控制漏洞

 


漏洞概述

星网锐捷SVG6008语音网关,在其默认的web管理页面中并没有打开telnet,ftp等远程管理功能,但是在登录状态下通过特殊构造的请求可以打开ftp、telnet等远程服务并设置用户名口令,获得完全管理权限。

在新发布的软件版本中已修复该漏洞。有需要的用户请升级到V1.0.0.12版本。

版本和修复

产品名称

软件版本号

修复软件版本号

SVG6008 V5.00

V1.0.0.10

V1.0.0.12

 

 

 

 

影响后果

成功利用这个漏洞,可以获取正常用户权限范围之外的操作权限。

技术细节

 利用漏洞发起攻击的预置条件:获取WEB登录用户名和密码。

 漏洞详细描述:WEB用户权限过高,获取WEB管理用户密码后可修改ftp、telnet等远程服务的用户名、密码,从而获取到正常用户权限范围之外的操作权限。

规避措施

 无