漏洞标题
N/A
漏洞描述信息
在SINEC NMS(所有版本<V1.0 SP2更新1)中发现了一个漏洞。受影响的系统允许将解析后的JSON对象上传到JAVA对象中。由于受影响的软件不安全地解析用户输入的内容,有特权的黑客可以通过发送精心配置的序列化Java对象来利用此漏洞。漏洞利用可能导致黑客在具有root权限的设备上执行任意代码。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
A vulnerability has been identified in SINEC NMS (All versions < V1.0 SP2 Update 1). The affected system allows to upload JSON objects that are deserialized to JAVA objects. Due to insecure deserialization of user-supplied content by the affected software, a privileged attacker could exploit this vulnerability by sending a crafted serialized Java object. An exploit could allow the attacker to execute arbitrary code on the device with root privileges.
CVSS信息
N/A
漏洞类别
可信数据的反序列化
漏洞标题
Siemens SINEC NMS 代码问题漏洞
漏洞描述信息
Siemens SINEC NMS是德国西门子(Siemens)公司的 一个网络管理系统 (NMS),该系统可用于全天候集中监控、管理和配置具有数万台设备的工业网络,包括与安全相关的领域。 SINEC NMS 1.0 SP2 Update 1之前版本存在代码问题漏洞,该漏洞源于受影响的系统允许将JSON对象反序列化为JAVA对象。具有特权的攻击者可利用该漏洞通过发送精心制作的序列化Java对象来利用该漏洞。
CVSS信息
N/A
漏洞类别
代码问题