Lansweeper远程代码执行漏洞

CVE编号

CVE-2020-14011

利用情况

暂无

补丁情况

N/A

披露时间

2020-06-16

漏洞描述

Lansweeper是比利时Lansweeper公司的一套IT资产管理系统。该系统包括IT资产发现、网络设置扫描等功能。 Lansweeper 6.0.x版本至7.2.x版本中存在安全漏洞。攻击者可借助Add New Package和Scheduled Deployments功能利用该漏洞执行命令。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://www.lansweeper.com/knowledgebase/restricting-access-to-the-web-console/

参考链接
http://packetstormsecurity.com/files/158205/Lansweeper-7.2-Default-Account-Re...
https://pastebin.com/EUkMx94X
https://www.lansweeper.com/knowledgebase/restricting-access-to-the-web-console/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	lansweeper	lansweeper	*	From (including) 6.0.0.19	Up to (including) 7.2.108.6

CVSS3评分 9.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-1188	不安全的默认资源初始化
CWE-863	授权机制不正确

Exp相关链接

• https://www.exploit-db.com/exploits/48618

- avd.aliyun.com