V-SOL命令注入漏洞
CVE编号
CVE-2020-29381利用情况
暂无补丁情况
N/A披露时间
2020-11-29漏洞描述
威讯通信 V-Solution V1600D等都是中国威讯通信公司的产品。V-Solution V1600D是一款支持Gpon的用于连接光纤干线的终端设备。V-Solution V1600D4L是一款支持Gpon的用于连接光纤干线的终端设备。V-Solution V1600D-MINI是一款支持Gpon的用于连接光纤干线的终端设备。V-Solution V1600G1是一款支持Gpon的用于连接光纤干线的终端设备。V-Solution V1600G2是一款支持Gpon的用于连接光纤干线的终端设备。 V-SOL 存在命令注入漏洞,该漏洞源于命令注入可以通过精心设计的文件名出现在CLI中的“上载tftp syslog”和“上载tftp配置”中。以下产品及版本受到影响:V-SOL V1600D V2.03.69 and V2.03.57, V1600D4L V1.01.49, V1600D-MINI V1.01.48, V1600G1 V2.0.7 and V1.9.7, and V1600G2 V1.1.4 OLT devices。解决建议
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页: https://cdatatec.com/
参考链接 |
|
|---|---|
| https://seclists.org/fulldisclosure/2020/Jul/14 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 系统 | vsolcn | v1600d-mini_firmware | 1.01.48 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | vsolcn | v1600d4l_firmware | 1.01.49 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | vsolcn | v1600d_firmware | 2.03.57 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | vsolcn | v1600d_firmware | 2.03.69 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | vsolcn | v1600g1_firmware | 1.9.7 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | vsolcn | v1600g1_firmware | 2.0.7 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | vsolcn | v1600g2_firmware | 1.1.4 | - | |||||
| 运行在以下环境 | |||||||||
| 硬件 | vsolcn | v1600d | - | - | |||||
| 运行在以下环境 | |||||||||
| 硬件 | vsolcn | v1600d-mini | - | - | |||||
| 运行在以下环境 | |||||||||
| 硬件 | vsolcn | v1600d4l | - | - | |||||
| 运行在以下环境 | |||||||||
| 硬件 | vsolcn | v1600g1 | - | - | |||||
| 运行在以下环境 | |||||||||
| 硬件 | vsolcn | v1600g2 | - | - | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-77 | 在命令中使用的特殊元素转义处理不恰当(命令注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论