漏洞通告 | IP-guard WebServer权限绕过漏洞

漏洞概况IP-guard是由广州市溢信科技股份有限公司开发的一款终端安全管理软件，旨在帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。微步漏洞团队通过“X 漏洞奖励计划”获取到IP-guard WebServer权限绕过漏洞情报。由于访问控制存在逻辑错误，导致可以绕过权限验证，调用后台接口进行任意文件读取、删除。攻击者可利用该漏洞读取数据库配置信息，进而接管数据库。经分析和研判，该漏洞利用难度低，建议尽快修复。漏洞处置优先级(VPT)综合处置优先级：高基本信息微步编号XVE-2023-35516漏洞类型权限绕过利用条件评估利用漏洞的网络条件远程是否需要绕过安全机制不需要对被攻击系统的要求默认配置利用漏洞的权限要求无需任何权限是否需要受害者配合不需要利用情报POC是否公开否微步已捕获攻击行为否漏洞影响范围产品 ………………………………