[漏洞預警] ntopng 權限繞過與任意代碼執行漏洞(CVE-2021-28073/CVE-2021-28074)
Andrew2021-03-25 11:11:24
2021年3月24日,阿里云應急響應中心監測到國內某安全團隊公開披露 ntopng 權限繞過與任意代碼執行漏洞,其CVE號為 CVE-2021-28073、CVE-2021-28074。
01 漏洞描述
ntopng是一款基于Web的流量分析與集流工具。2021年3月24日,阿里云應急響應中心監測到國內某安全團隊公開披露 ntopng 權限繞過與任意代碼執行漏洞,其CVE號為 CVE-2021-28073、CVE-2021-28074。攻擊者可構造惡意請求,繞過相關認證,配合相關功能造成任意代碼執行,控制服務器。ntopng官方團隊已于2021年3月5日發布相關commit代碼進行修復,**阿里云應急響應中心提醒 ntopng 用戶盡快采取安全措施阻止漏洞攻擊。**
02 漏洞復現
阿里云安全工程師已第一時間復現該認證繞過漏洞。
03 漏洞評級
CVE-2021-28073、CVE-2021-28074 ntopng 權限繞過與任意代碼執行漏洞 高危
| 漏洞細節 | 漏洞PoC | 漏洞EXP | 在野利用 |
|---|---|---|---|
| 公開 | 公開 | 未公開 | 未知 |
04 影響版本
ntopng commit < e8b9721479f401f595c5c7bb151819aceb03ad71
05 安全版本
ntopng commit >= e8b9721479f401f595c5c7bb151819aceb03ad71
06 安全建議
將 ntopng 更新至相關commit記錄之后。
07 相關鏈接
https://github.com/ntop/ntopng/commit/e8b9...
08 安全產品
| 安全產品 | 解決方案 |
|---|---|
| 云盾WAF | **已可防護該類漏洞,并提供7天免費漏洞應急服務,為 您爭取漏洞修復時間,應急開通地址:https://c.tb.cn/I3.XzCtR |
| 阿里云云安全中心 | 應急漏洞模塊已支持對該漏洞一鍵檢測 |
| 阿里云云防火墻 | 已可以防御此攻擊 |
原創: 阿里云應急響應
原文鏈接:https://mp.weixin.qq.com/s/EUv2cAlrg6V9Omy...
Andrew
暫無描述