一、 漏洞 CVE-2020-25206 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
直至2.8.0.2版本的Mmosa B5、B5c和C5x固件web控制台允许在Throughput、WANStats、PhyStats和QosStatsAPI类中经过验证的命令注入。具有Web控制台账户的攻击者可以通过向受影响的端点发送精心构造的POST请求来执行受影响设备上的操作系统命令(/core/api/calls/Throughput.php, /core/api/calls/WANStats.php, /core/api/calls/PhyStats.php, /core/api/calls/QosStats.php)。这使得 vulnerable 设备完全被接管。这个漏洞在较旧的1.5.x固件版本中不存在。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The web console for Mimosa B5, B5c, and C5x firmware through 2.8.0.2 allows authenticated command injection in the Throughput, WANStats, PhyStats, and QosStats API classes. An attacker with access to a web console account may execute operating system commands on affected devices by sending crafted POST requests to the affected endpoints (/core/api/calls/Throughput.php, /core/api/calls/WANStats.php, /core/api/calls/PhyStats.php, /core/api/calls/QosStats.php). This results in the complete takeover of the vulnerable device. This vulnerability does not occur in the older 1.5.x firmware versions.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Mimosa B5 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Mimosa B5是mimosa的网络设备Mimosa B5 回程是最容易部署且容量最高的未授权 5 GHz 回程解决方案,适用于中短程链路应用。 Mimosa B5、B5c存在安全漏洞,该漏洞允许在吞吐量、WANStats、PhyStats和QosStats API类中通过身份验证的命令注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-25206 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2020-25206 的情报信息
-
标题: CWE - CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') (4.15) -- 🔗来源链接
标签: x_refsource_MISC
- https://labs.f-secure.com/advisories/ x_refsource_MISC
- https://labs.f-secure.com/advisories/mimosa-ptp-devices-multiple-vulnerabilities/ x_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2020-25206