• 龙8-long8

    
    中文-Chinese 英语-English
    服务支持

    龙8-long8提供厂商一站式服务,让客户无后顾之忧,助客户聚焦核心业务

    安全预警 - 涉及龙8-long8部分服务器产品的JSON注入漏洞

    预警编号:PowerLeader-sa-20230530-02-server

    初始发布时间: 20230530

    更新发布时间: 20230604

    漏洞概述

    部分龙8-long8服务器产品的iBMC(Intelligent Baseboard Management Controller)模块存在两个JSON注入漏洞。一个经认证的远程攻击者可以向受影响设备发送特殊构造的报文来修改管理员密码。由于iBMC对输入数据校验不充分,成功利用这个漏洞可能导致攻击者获取系统管理权限。

    影响后果

    成功利用这个漏洞可能导致攻击者获取系统管理权限。

    漏洞得分

    漏洞使用CVSSv3计分系统进行分级
    基础得分:8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
    临时得分:8.2 (E:F/RL:O/RC:C)

    技术细节

    利用漏洞发起攻击的预置条件:

    攻击者登录到目标设备。

    漏洞详细描述:

    一个经认证的远程攻击者可以向受影响设备发送特殊构造的报文来修改管理员密码。由于iBMC对输入数据校验不充分,成功利用这个漏洞可能导致攻击者获取系统管理权限。

    规避措施

    版本获取途径

    用户可以通过龙8-long8400热线获取补丁/更新版本。

    漏洞来源

    该漏洞由龙8-long8内部测试发现。

    更新记录

    2023-06-04 V1.1 UPDATED Updated the affected version and fix version information
    2023-05-30 V1.0 INITIAL

    FAQ

    后续改善计划

    龙8-long8计算机会持续跟进该漏洞的最新动态,请关注龙8-long8计算机官网、官微公告有任何关于此漏洞修复的问题,可以通过以下方式联系我们:

    龙8-long8计算机售后咨询热线:4008-870-872

    龙8-long8PSIRT邮箱:psirt@powerleadercom.cn

    龙8-long8计算机官网:https://www.powerleadercom.cn