SEARCH

MP7500E産品任意文(wén)件讀寫導緻命令執行漏洞公告

嚴重程度:高危 CVE編号:NA

一、漏洞描述

邁普MP7500E系列産品默認啓動TFTP服務(wù),并監聽TFTP協議知名端口,導緻TFTP服務(wù)可(kě)以對網絡其他(tā)設備提供本設備文(wén)件系統的操作(zuò)權限,包括 /flash/startup 啓動配置文(wén)件的讀寫等操作(zuò),造成了嚴重安(ān)全漏洞問題。

二、受影響的産品、版本和修複方案

産品型号

受影響軟件版本

修複版本

路由器MP7500E系列

8.1.0.59及以前的版本 、8.1.3.2及以前的版本

8.1.0.61

8.1.3.3

 

 

 

三、漏洞評分(fēn)和風險等級

漏洞使用(yòng)CVSSv4.0計分(fēn)系統進行評分(fēn),評分(fēn)标準請參考https://www.first.org/cvss/v4.0/specification-document

CVSS4.0基礎得分(fēn):10.0CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L

風險等級:高危

四、規避措施

1.        方案1:手動關閉TFTP相關服務(wù)。

DUT (config)# tftp disable

注:重啓後會自動恢複TFTP服務(wù),需要手動再次關閉。

2.   方案2EEP聯動TFTP命令,實現重啓後自動關閉TFTP服務(wù)。

DUT (config)#event platform applet disable-tftp

DUT (config-eep)#event timer countdown 10

DUT (config-eep)#action 1 cli-command tftp disable

DUT (config-eep)#exit

3.   方案3:升級對應産品的漏洞修複版本。

五、漏洞來源

工業和信息化部網絡安(ān)全威脅和漏洞信息共享平台(NVDB

六、更新(xīn)記錄

時間

更新(xīn)記錄

202473

首次發布

 

七、聯系我們

有任何關于此次漏洞修複的疑問,可(kě)通過以下方式聯系:

客戶服務(wù)熱線(xiàn):400-886-8669

郵箱:support@maipu.com

官方網站:www.maipu.com.cn