中危 keysight n6854a_firmware 目录遍历漏洞(CVE-2022-1661)
CVE编号
CVE-2022-1661利用情况
暂无补丁情况
官方补丁披露时间
2022-06-02漏洞描述
Keysight Technologies N6854A Geolocation server和Keysight Technologies N6841A RF Sensor都是美国Keysight Technologies公司的产品。Keysight Technologies N6854A Geolocation server是一个地理定位服务器。Keysight Technologies N6841A RF Sensor是一个射频传感器。用于频谱监测。 Keysight Technologies N6854A Geolocation server和Keysight Technologies N6841A RF Sensor存在安全漏洞,该漏洞源于在 UserFirmwareRequestHandler 类处理目录遍历序列时输入验证错误。远程攻击者利用该漏洞发送特制的 HTTP 请求并读取系统上的任意文件。解决建议
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://www.keysight.com/jp/ja/lib/software-detail/computer-software/n6854a-geolocation-server-and-n6841a-rf-sensor-software-sw319.html
参考链接 |
|
|---|---|
| https://www.cisa.gov/uscert/ics/advisories/icsa-22-146-01 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 系统 | keysight | n6841a_rf_firmware | * | Up to (excluding) 2.4.0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | keysight | n6854a_firmware | * | Up to (excluding) 2.4.0 | |||||
| 运行在以下环境 | |||||||||
| 硬件 | keysight | n6841a_rf | - | - | |||||
| 运行在以下环境 | |||||||||
| 硬件 | keysight | n6854a | - | - | |||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-22 | 对路径名的限制不恰当(路径遍历) |
| CWE-23 | 相对路径遍历 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论