CNNVD 關于SonicWall Analytics 配置錯誤漏洞的預警

 近日，國家信息安全漏洞庫（CNNVD）收到關于SonicWall Analytics 配置錯誤漏洞（CNNVD-202108-938、 CVE-2021-20032）情況的報送。成功利用漏洞的攻擊者可以在未授權的情況下遠程執行惡意代碼，并最終控制目標設備。SonicWall Analytics 2.5.2518及其之前的版本均受漏洞影響。目前，SonicWall官方已發布版本更新修復了漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

一、漏洞介紹

SonicWall Analytics是美國SonicWall公司的一款適用于網絡的高性能管理和報告引擎。該漏洞是由于Java 調試線協議 (JDWP) 接口安全配置錯誤導致，攻擊者可利用該漏洞可在未授權的情況下，構造惡意數據遠程執行惡意代碼，最終控制目標設備。

二、危害影響

成功利用漏洞的攻擊者可以在未授權的情況下遠程執行惡意代碼，并最終控制目標設備。SonicWall Analytics 2.5.2518及其之前的版本均受漏洞影響。

三、修復建議

目前，SonicWall官方已發布版本更新修復了漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。官方鏈接如下：

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0018

本通報由CNNVD技術支撐單位——北京華云安信息技術有限公司、數字觀星應急響應中心、內蒙古中葉信息技術有限責任公司、深信服科技股份有限公司、北京鴻騰智能科技有限公司、遠江盛邦（北京）網絡安全科技股份有限公司、北京啟明星辰信息技術有限公司等技術支撐單位提供支持。

  CNNVD將繼續跟蹤上述漏洞的相關情況，及時發布相關信息。如有需要，可與CNNVD聯系。聯系方式: cnnvdvul@itsec.gov.cn