rConfig 操作系统命令注入漏洞

CNNVD-ID编号	CNNVD-202010-807
CVE编号	CVE-2020-13778
发布时间	2020-10-19
更新时间	2020-11-16
漏洞类型	操作系统命令注入
漏洞来源	N/A
危险等级	高危
威胁类型	远程
厂商	N/A

漏洞介绍

rConfig是一款开源的网络配置管理实用程序。

rConfig 3.9.4版本及之前版本存在安全漏洞，该漏洞源于允许通过将伪造的GET请求发送到lib/ajaxHandlers/ajaxAddTemplate.php或lib/ajaxHandlers/ajaxEditTemplate.php来执行（系统命令的）身份验证代码执行。

漏洞补丁

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://www.rconfig.com/#whyrconfig

参考网址

来源:MISC

链接：https://cxsecurity.com/issue/WLB-2020100091
来源:MISC

链接：https://github.com/theguly/exploits/blob/master/CVE-2020-13778.py
来源:MISC

链接：https://theguly.github.io/2020/09/rconfig-3.9.4-multiple-vulnerabilities/

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202010-807

行业资讯-文章归档问答-问答归档