服务器、存储产品购买热线:400-860-6708 ERP、管理软件购买热线:400-018-7700云服务产品销售热线:400-607-6657
安全预警-ClusterEngine V4.0 远程命令执行漏洞
预警编号:INSPUR-SA-201911-001
初始发布时间:2019-11-26 18:37:40
更新发布时间:2019-11-26 16:55:53
漏洞概述:

ClusterEngine V4.0由于输入参数校验不正确,导致攻击者可以通过发送特殊构造的报文利用该漏洞远程执行命令。

浪潮已发布补丁包修复该漏洞,。安全预警链接:http://www.inspur.com/lcjtww/2312126/2432763/2432967/2432766/2485095/index.html

已完成修复的产品版本:

请直接发送邮件至sec@inspur.com获取产品补丁包。

影响后果:

攻击者通过构造特定的报文远程执行命令。

漏洞得分:

使用CVSSv3标准评分(https://www.first.org/cvss/calculator/3.0

CVSS Base Score: 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS Temporal Score:9.4 (E:H/RL:O/RC:C)

技术细节:

1. 前提条件:攻击者能够访问受影响设备。

2. 攻击步骤:ClusterEngine V4.0由于输入参数校验不正确,导致攻击者可以通过发送特殊构造的报文利用该漏洞远程执行命令。

版本获取链接:

相关受影响客户请直接发送邮件至sec@inspur.com获取产品补丁包

规避措施:

漏洞来源:

此漏洞由外部安全研究人员Sp4ce上报。

更新记录:

20191126-V1.0-Initial Release

FAQs:

浪潮安全应急响应对外服务:

浪潮一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
反馈浪潮产品和解决方案安全问题,请反馈至浪潮PSIRT邮箱sec@inspur.com,详情参考http://www.inspur.com/lcjtww/2312126/2432763/index.html

关于浪潮

集团简介 文化理念 荣誉资质 董事长致辞 加入我们 联系我们 关注我们

新闻与活动

新闻公告 市场活动

如何购买

需求工单 售前咨询 查找经销商

探索浪潮

通用服务器 存储 人工智能 爱城市网 浪潮云 浪潮云ERP

支持与服务

支持下载 视频中心 服务进度查询 安全通告

快速链接

合作伙伴生态 电子采购平台 投行项目 投资者关系 道德遵从

在社交媒体上关注我们

拨打咨询电话