2023年04月18日以來(lái),國(guó)家信息安全漏洞共享平臺(tái)(CNVD)向我司通報(bào)了5個(gè)漏洞。
■ 漏洞信息如下:
CNVD-C-2024-690220 KingH5Stream存在目錄遍歷漏洞
CNVD-C-2024-690290 KingH5Stream存在越權(quán)訪問(wèn)漏洞
CNVD-C-2024-699029 北京亞控科技發(fā)展有限公司-KingH5Stream存在未授權(quán)訪問(wèn)漏洞
CNVD-C-2024-349016 北京亞控科技發(fā)展有限公司KingH5Stream存在信息泄露漏洞
CNVD-C-2023-246769 KingSuperSCADA全組態(tài)型監(jiān)控平臺(tái)存在目錄遍歷漏洞
■ 漏洞描述:
北京亞控科技發(fā)展有限公司KingH5Stream存在接口可實(shí)現(xiàn)目錄遍歷漏洞,攻擊者可利用該漏洞對(duì)服務(wù)器進(jìn)行文件遍歷。
北京亞控科技發(fā)展有限公司KingH5Stream的未公開(kāi)接口存在越權(quán)訪問(wèn)漏洞,攻擊者可利用該漏洞對(duì)服務(wù)器進(jìn)行越權(quán)訪問(wèn),獲得管理員權(quán)限。
北京亞控科技發(fā)展有限公司-KingH5Stream存在未授權(quán)訪問(wèn)漏洞。
北京亞控科技發(fā)展有限公司KingH5Stream存在信息泄露漏洞。
北京亞控科技發(fā)展有限公司KingH5Stream存在目錄遍歷漏洞,攻擊者可利用該漏洞獲取目錄下的敏感文件。
針對(duì)上述漏洞,我司及時(shí)采取措施,對(duì)KingH5Stream版本進(jìn)行漏洞驗(yàn)證與修復(fù),安全補(bǔ)丁文件詳情如下:
序號(hào) | 漏洞名稱 | 發(fā)現(xiàn)時(shí)間 | 補(bǔ)丁發(fā)布時(shí)間 | 補(bǔ)丁文件 | 影響產(chǎn)品 | 修復(fù)方法 |
1 | KingH5Stream存在目錄遍歷漏洞 | 2024/9/26 | 2024/10/11 | KingH5Stream | 將conf目錄下的h5ss.conf文件內(nèi)的user中的bAnonymousView改成false | |
2 | KingH5Stream存在越權(quán)訪問(wèn)漏洞 | 2024/9/26 | 2024/10/11 | KingH5Stream | 將conf目錄下的h5ss.conf文件內(nèi)的user中的bAnonymousView改成false | |
3 | 北京亞控科技發(fā)展有限公司-KingH5Stream存在未授權(quán)訪問(wèn)漏洞 | 2024/9/26 | 2024/10/11 | KingH5Stream | 替換補(bǔ)丁文件即可 | |
4 | 北京亞控科技發(fā)展有限公司KingH5Stream存在信息泄露漏洞 | 2024/6/27 | 2024/10/11 | KingH5Stream | 將conf目錄下的h5ss.conf文件內(nèi)的user中的bAnonymousView改成false | |
5 | KingSuperSCADA全組態(tài)型監(jiān)控平臺(tái)存在目錄遍歷漏洞 | 2023/4/18 | 2024/10/11 | KingH5Stream | 將conf目錄下的h5ss.conf文件內(nèi)的user中的bAnonymousView改成false |
為有效應(yīng)對(duì)以上漏洞帶來(lái)的安全威脅,建議還在使用KingH5Stream 的用戶及時(shí)修復(fù)。
北京亞控科技發(fā)展有限公司
2024年10月11日
微信掃碼 聯(lián)系企業(yè)微信客服
