山石网科WAF命令执行漏洞
- CNNVD编号:CNVD-2024-36513
- 危害等级: 高危
- CVE编号:未知
- 漏洞类型: 通用型漏洞
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:国家信息安全漏洞共享平台
- 发布时间:2024-09-11
- 更新时间:2024-09-11
漏洞简介
山石网科Web应用防火墙(WAF)是专业智能的Web应用安全防护产品,在Web资产发现、漏洞评估、流量学习、威胁定位等方面全面应用智能分析和语义分析技术,帮助用户轻松应对应用层风险,确保网站全天候的安全运营。
山石网科WAF存在命令执行漏洞,该漏洞是由于执行系统命令时包含了用户可空变量,攻击者可利用该漏洞通过构造恶意请求,拼接命令执行任意代码,控制服务器。
漏洞公示
在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。
参考网站
https://www.hillstonenet.com.cn/security-notification/2024/08/21/mlzrld-2/
受影响实体
山石网科通信技术股份有限公司 WAF >=5.5R6-2.6.7,<=5.5R6-2.8.13
补丁
厂商已提供漏洞修补方案,建议用户下载使用:
https://www.hillstonenet.com.cn/
厂商补丁 山石网科WAF命令执行漏洞的补丁
