漏洞标题
N/A
漏洞描述信息
在阿尔卡特 OmniPCX 企业通信服务器 R7.1 和更早版本中的统一维护工具中的masterCGI 允许远程攻击者通过用户在参数中的shell元字符在ping行动中执行任意命令。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
masterCGI in the Unified Maintenance Tool in Alcatel OmniPCX Enterprise Communication Server R7.1 and earlier allows remote attackers to execute arbitrary commands via shell metacharacters in the user parameter during a ping action.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Alcatel-Lucent OmniPCX Enterprise远程命令注入漏洞
漏洞描述信息
OmniPCX Enterprise是企业级的集成通讯解决方案。 OmniPCX所带的CGI脚本实现上存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上执行任意命令。 OmniPCX的Web界面所安装的CGI脚本masterCGI提供了ping功能,如果以ping和user参数运行该脚本的话,就可以从Web界面所在的服务器ping任意可到达的IP。ping是在服务器上执行的,运行服务器上所安装的ping程序,但在将user变量传送到shell之前没有进行任何过滤,因此可以在将任何命令注入到user变量中
CVSS信息
N/A
漏洞类别
授权问题