检测
分析

cve - 2020 - 15644

描述

这个漏洞允许远程攻击者执行任意代码影响安装的Marvell QConvergeConsole 5.5.0.64。虽然身份验证需要利用这个漏洞,可以绕过现有的身份验证机制。内的特定缺陷存在setAppFileBytes GWTTestServiceImpl类的方法。这个问题的结果缺乏适当的验证用户提供路径在文件操作前使用它。攻击者可以利用这个漏洞的上下文中执行代码系统。zdi - - 10550。

引用

https://www.marvell.com/content/dam/marvell/en/public - collateral/fibre channel/marvell -纤维-通道安全顾问- 2020 - 07. - pdf

//www.yyueer.com/security/research/tra - 2020 - 56

https://www.zerodayinitiative.com/advisories/ZDI-20-972/

细节

发表:2020-08-25

更新:2020-12-23

类型:CWE-22

风险信息

CVSS v2

基础分数:9

向量:AV: N /交流:L /非盟:S / C: C / I: C / A: C

影响得分:10

可利用性得分:8

严重程度:

CVSS v3

基础分数:8.8

向量:CVSS: 3.1 / AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:H: H

影响得分:5.9

可利用性得分:2.8

严重程度:

Baidu
map