alfiegrano678 Mida Solutions爆出多个漏洞,或殃及微软,思科,惠普,中国电信等40余名企
Mida Solutions是一家专注于统一通信(UC)的高技能意大利公司。自2004年以来,它提供独特的专业知识以及一整套高级服务和语音应用程序,其使命是为通信提供增值的创新技术。
Mida团队已成为统一协作和专业沟通的全球领导者,几乎所有行业的服务提供商,系统集成商。其合作伙伴有微软,思科,惠普,中国电信等40个世界知名企业。
Mida eFramework是Mida Solutions公司旗下视频和语音应用程序的完整服务套件,与几乎所有主要的UC平台兼容。该套件包括话务员控制台,记录器,传真服务器,计费,队列管理器,自动话务员,移动应用程序,电话服务。
不过该服务套件在7月份爆出了多个,或殃及微软,思科,惠普,中国电信等40余名企!以下是漏洞详情:
1.存储型跨站点脚本(XSS) (CVE-2020-15918)
影响:会话劫持
(已验证)在未公开的 Mida Solutions eFramework 2.反射型跨站点脚本漏洞(XSS)(CVE-2020-15919)
影响:会话劫持
(未经身份验证)未公开的 Mida Solutions eFramework 3.操作系统命令(OS)注入远程执行代码漏洞(RCE)和拒绝服务(Dos)(CVE-2020-15920)
影响:OS代码执行
Mida Solutions eFramework 2.9.0及之前版本中存在操作系统命令注入漏洞。它使未经身份认证的攻击者能够获得具有管理(root)特权的远程代码执行(RCE)。注入点位于未公开的 PHP页面上,该页面可以使用GET或POST恶意负载作为目标。
4.管理后门访问漏洞(CVE-2020-15921)
影响:特权升级,OS代码执行
Mida Solutions eFramework 5.操作系统命令注入远程执行代码漏洞(RCE)(CVE-2020-15922)
影响:OS代码执行
(未经身份验证的6.路径遍历漏洞(CVE-2020-15923)
影响:信息泄露
(未经身份验证,具有Root访问权限7.SQL注入漏洞(CVE-2020-15924)
影响:数据库泄露,信息泄露,权限提升
Mida Solutions eFramework 2.9.0及之前版本中存在SQL注入漏洞。攻击者可利用该漏洞提升特权,获取信息,造成数据泄露。
漏洞修复
Mida Solutions eFramework 2.8.9版已经过测试,这是测试时可用的最新版本。以前的版本也可能会受到影响。在今年第一季度,供应商发布了较新的版本2.9.0。但是,最新版本仍然容易受到上述漏洞的攻击。
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
https://www.midasolutions.com/
1. 本站所有下载资源均不包含技术支持和安装服务!需要讨论请进群!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到审核区发布,分享有KR奖励和额外收入!
4. 如有链接无法下载、失效或广告,请联系管理员处理!
5. 本站无法保证资源或破解时效性,如某些授权码过期等问题,恕不在修复范围内。
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!故不接受任何形式的退款,如确认资源确有问题的,会补给相应KR以供再次购买。
7. 53Kr源码暂未发现后门代码,但无法保证100%安全,推荐检测方法:上传到 https://www.virustotal.com/在线查看是否有恶意代码以及其他有后门嫌疑的代码。
8. 在本站下载的源码我还是不建议正式使用,有特别喜欢的可以去程序官方购买。
53kr资源站仅提供学习的平台,所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,并不承担任何法律责任,如果对您的版权或者利益造成损害,请提供相应的资质证明,我们将于3个工作日内予以删除。
53kr资源分享 » Mida Solutions爆出多个漏洞,或殃及微软,思科,惠普,中国电信等40余名企