关于拓尔思-MAS存在远程命令执行、任意文件上传、SQL注入、敏感信息泄露等多个漏洞的安全公告
关于拓尔思-MAS存在远程命令执行、任意文件上传、SQL注入、敏感信息泄露等多个漏洞的安全公告
2022年4月30日,监测到拓尔思-MAS存在远程命令执行、任意文件上传、SQL注入、敏感信息泄露等多个漏洞,远程攻击者可利用上述漏洞写入恶意命令导致服务器沦陷进而内网横向渗透。
一、漏洞描述
STRS MAS是基于移动互联网时代音视频的使用特点,推出的一套通用型媒资管理系统。
二、影响范围
用户认证:不需要用户认证
触发方式:远程
配置方式:默认
影响版本:拓尔思-MAS V5 V6
不受影响版本:拓尔思-MAS V6.1 rev 133841
利用难度:低
威胁等级:高
综合评估漏洞利用难度低,利用要求少,影响范围一般,危害高,根据网络安全要求,需要紧急修复。
三、安全建议
1.升级到最新版拓尔思-MAS V6.1 rev 133841。
2.删除测试文件夹 /mas/sysinfo/。
3.升级内置Apache Axis版本。