新华三 Web 网管系统任意文件上传漏洞(0day 漏洞)
漏洞描述:
新 华 三 技 术 有 限 公 司 Web 网 管 登 录 系 统
/webui/?g=net_dynamic_pop_adv_submit 接 口 存 在 任
意文件上传漏洞,攻击者可利用此漏洞上传 php 可执行脚本
文件。
受影响版本:
全版本
解决方案:
(1) 临时缓解措施:web 应用防火墙添加对 URL 路径
(/webui/?g=net_dynamic_pop_adv_submit)的拦截规则。
(0)
最佳答案
(0)
/webui/?g=net_dynamic_pop_adv_submit 任意文件上传漏洞官方核实结论net_dynamic_pop_adv_submit 是动态地址池高级配置提交接口,仅在 SecPath 防火墙、ACG、AD 等安全产品 Web 页面存在,交换机、无线控制器无此接口。# 查看Web管理是否开启
display web interface
# 查看设备平台版本
display version
# 测试接口是否可访问(替换为设备管理IP)
curl -I http://设备IP/webui/?g=net_dynamic_pop_adv_submit
undo web interface enable
save
acl number 3000
rule deny tcp destination-url /webui/?g=net_dynamic_pop_adv_submit
# 应用到Web管理入接口(外网/管理VLAN接口)
interface Vlan-interface X
firewall packet-filter 3000 inbound
/webui/?g=net_dynamic_pop_adv_submit 直接丢弃数据包。ip http acl 2000
acl number 2000
rule permit source 192.168.1.0 0.0.0.255 # 仅管理网段
rule deny
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论