ZTE R5300G4、R8500G4和R5500G4授权问题漏洞

CVE编号

CVE-2020-6871

利用情况

暂无

补丁情况

N/A

披露时间

2020-07-21

漏洞描述

ZTE R5300G4等都是中国中兴通讯（ZTE）公司的一款服务器设备。 ZTE R5300G4、R8500G4和R5500G4中的服务器管理软件模块存在安全漏洞。攻击者可利用该漏洞绕过服务器的身份验证并执行命令。以下产品及版本受到影响：ZTE R5300G4 V03.08.0100版本，V03.07.0300版本，V03.07.0200版本，V03.07.0108版本，V03.07.0100版本，V03.05.0047版本，V03.05.0046版本，V03.05.0045版本，V03.05.0044版本，V03.05.0043版本，V03.05.0040版本，V03.04.0020版本；R8500G4 V03.07.0103版本，V03.07.0101版本，V03.06.0100版本，V03.05.0400版本，V03.05.0020；R5500G4 V03.08.0100版本，V03.07.0200版本，V03.07.0100版本，V03.06.0100版本。

解决建议

厂商已提供漏洞修复方案，请关注厂商主页更新： http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1013202

参考链接
http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1013203

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	zte	r5300g4_firmware	03.04.0020	-
	运行在以下环境
	系统	zte	r5300g4_firmware	03.05.0040	-
	运行在以下环境
	系统	zte	r5300g4_firmware	03.05.0043	-
	运行在以下环境
	系统	zte	r5300g4_firmware	03.05.0044	-
	运行在以下环境
	系统	zte	r5300g4_firmware	03.05.0045	-
	运行在以下环境
	系统	zte	r5300g4_firmware	03.05.0046	-
	运行在以下环境
	系统	zte	r5300g4_firmware	03.05.0047	-
	运行在以下环境
	系统	zte	r5300g4_firmware	03.07.0100	-
	运行在以下环境
	系统	zte	r5300g4_firmware	03.07.0108	-
	运行在以下环境
	系统	zte	r5300g4_firmware	03.07.0200	-
	运行在以下环境
	系统	zte	r5300g4_firmware	03.07.0300	-
	运行在以下环境
	系统	zte	r5300g4_firmware	03.08.0100	-
	运行在以下环境
	系统	zte	r5500g4_firmware	03.06.0100	-
	运行在以下环境
	系统	zte	r5500g4_firmware	03.07.0100	-
	运行在以下环境
	系统	zte	r5500g4_firmware	03.07.0200	-
	运行在以下环境
	系统	zte	r5500g4_firmware	03.08.0100	-
	运行在以下环境
	系统	zte	r8500g4_firmware	03.05.0020	-
	运行在以下环境
	系统	zte	r8500g4_firmware	03.05.0400	-
	运行在以下环境
	系统	zte	r8500g4_firmware	03.06.0100	-
	运行在以下环境
	系统	zte	r8500g4_firmware	03.07.0101	-
	运行在以下环境
	系统	zte	r8500g4_firmware	03.07.0103	-
	运行在以下环境
	硬件	zte	r5300g4	-	-
	运行在以下环境
	硬件	zte	r5500g4	-	-
	运行在以下环境
	硬件	zte	r8500g4	-	-

CVSS3评分 9.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-287	认证机制不恰当

Exp相关链接

- avd.aliyun.com