远程攻击者可任意对MarvelQConvergeConsole5.5.5.0.64系统实施代码虽然需要认证来利用这一漏洞,但现有的认证机制可以绕过特殊缺陷存在于sext方法 GWTTestServiceImpl类问题出自文件运维前用户提供路径缺乏适当验证攻击者可利用此漏洞执行系统内值代码ZDI-CAN-10549
https://www.zerodayinitiative.com/advisories/ZDI-20-971/
https://www.marvell.com/content/dam/marvell/en/public-collateral/fibre-channel/marvell-fibre-channel-security-advisory-2020-07.pdf
//www.yyueer.com/security/research/tra-2020-56
源码 :美术馆
发布 :2020-08-25
更新 :2023-01-24
类型 :CWE-22
基础评分 :九九
向量 :AV:N/AC:L/Au:S/C:C/I:C/A:C
效果评分 :10
可开发性评分 :8
严重性 :高位
基础评分 :8.8
向量 :CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
效果评分 :5点9分
可开发性评分 :2.8