SEARCH

MP7500E产品任意文件读写导致命令执行漏洞公告

严重程度:高危 CVE编号:NA

一、漏洞描述

迈普MP7500E系列产品默认启动TFTP服务,并监听TFTP协议知名端口,导致TFTP服务可以对网络其他设备提供本设备文件系统的操作权限,包括 /flash/startup 启动配置文件的读写等操作,造成了严重安全漏洞问题。

二、受影响的产品、版本和修复方案

产品型号

受影响软件版本

修复版本

路由器MP7500E系列

8.1.0.59及以前的版本 、8.1.3.2及以前的版本

8.1.0.61

8.1.3.3

 

 

 

三、漏洞评分和风险等级

漏洞使用CVSSv4.0计分系统进行评分,评分标准请参考https://www.first.org/cvss/v4.0/specification-document

CVSS4.0基础得分:10.0CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L

风险等级:高危

四、规避措施

1.        方案1:手动关闭TFTP相关服务。

DUT (config)# tftp disable

注:重启后会自动恢复TFTP服务,需要手动再次关闭。

2.   方案2EEP联动TFTP命令,实现重启后自动关闭TFTP服务。

DUT (config)#event platform applet disable-tftp

DUT (config-eep)#event timer countdown 10

DUT (config-eep)#action 1 cli-command tftp disable

DUT (config-eep)#exit

3.   方案3:升级对应产品的漏洞修复版本。

五、漏洞来源

工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB

六、更新记录

时间

更新记录

202473

首次发布

 

七、联系我们

有任何关于此次漏洞修复的疑问,可通过以下方式联系:

客户服务热线:400-886-8669

邮箱:support@maipu.com

官方网站:www.maipu.com.cn