漏洞通告 | 猎鹰安全终端安全系统 V9 远程代码执行漏洞

文章预览

漏洞概况 猎鹰安全终端安全系统V9 是专门为政府、军工、能源、教育、医疗及集团化企业设计的终端安全管理平台。 近日，微步漏洞团队获取到两个猎鹰安全终端安全系统V9 远程代码执行漏洞情报（https://x.threatbook.com/v5/vul/XVE-2023-25740、https://x.threatbook.com/v5 /vul/XVE-2023-25602）。 这两个漏洞的影响版本相同，而且漏洞原理比较相近，都是通过SQL注入漏洞写入WebShell执行任意代码，进而控制服务器。因此这两个 漏洞利用难度低，造成危害大，建议用户尽快修复漏洞 。 漏洞处置优先级(VPT) 综合处置优先级： 高 基本信息 微步编号 XVE-2023-25740 XVE-2023-25602 漏洞类型 SQL注入 to RCE 利用条件评估 利用漏洞的网络条件 远程 是否需要绕过安全机制 不需要 对被攻击系统的要求 默认配置 利用漏洞的权限要求 无需任何权限 是否需要受害者配合 不需要 利用情报 POC是 ………………………………