远程攻击者可任意对MarvelQConvergeConsole5.5.5.0.64系统实施代码虽然需要认证来利用这一漏洞,但现有的认证机制可以绕过具体缺陷存在于GWTTServiceImpl类获取FileFromURL方法中问题出自文件运维前用户提供路径缺乏适当验证攻击者可利用此漏洞执行系统内值代码ZDI-CAN-10553
//www.yyueer.com/security/research/tra-2020-56
https://www.zerodayinitiative.com/advisories/ZDI-20-973/
发布 :2020-08-25
基础评分 :九九
向量 :CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
严重性 :高位
基础评分 :8.8
向量 :CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H