ntopng 权限绕过与任意代码执行漏洞(CVE-2021-28073/CVE-2021-28074)风险通告

2021-03-24 18:05:12
国内某安全团队披露了ntopng 权限绕过与任意代码执行漏洞,其CVE号为 CVE-2021-28073、CVE-2021-28074,漏洞风险等级为“高危”。

2021324日,国内某安全团队披露了ntopng 权限绕过与任意代码执行漏洞,其CVE号为 CVE-2021-28073CVE-2021-28074,漏洞风险等级为“高危”。

 

漏洞描述:

2021324日,国内某安全团队公开披露ntopng 权限绕过与任意代码执行漏洞,CVE编号为 CVE-2021-28073CVE-2021-28074

 

攻击者可构造恶意请求,绕过相关认证,配合相关功能造成任意代码执行,控制服务器。漏洞技术细节与poc代码已公开。

 

ntopng是一款基于Web的流量分析与集流工具。

 

漏洞等级:高危

受影响的版本:

ntopng < commit e8b9721479f401f595c5c7bb151819aceb03ad71

 

安全版本:

ntopng commit >= e8b9721479f401f595c5c7bb151819aceb03ad71

 

漏洞修复建议:

1、腾讯安全专家建议将 ntopng 更新至最新版本;

2、建议设置ntopng仅对可信地址开放,以减少被攻击的可能性。

 

参考链接:

https://github.com/ntop/ntopng/commit/e8b9721479f401f595c5c7bb151819aceb03ad71

https://f5.pm/go-63892.html



扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


最新资讯