Mida Solutions爆出多個(gè)漏洞,或殃及微軟,思科,惠普,中國(guó)電信等40余名企

發(fā)布時(shí)間：2024-03-04

mida solutions是一家專注于統(tǒng)一通信(uc)的高技能意大利公司。自2004年以來(lái)，它提供獨(dú)特的專業(yè)知識(shí)以及一整套高級(jí)服務(wù)和語(yǔ)音應(yīng)用程序，其使命是為通信提供增值的創(chuàng)新技術(shù)。
mida團(tuán)隊(duì)已成為統(tǒng)一協(xié)作和專業(yè)溝通的全球領(lǐng)導(dǎo)者,幾乎所有行業(yè)的服務(wù)提供商，系統(tǒng)集成商。其合作伙伴有微軟,思科,惠普,中國(guó)電信等40個(gè)世界知名企業(yè)。
mida eframework是mida solutions公司旗下視頻和語(yǔ)音應(yīng)用程序的完整服務(wù)套件，與幾乎所有主要的uc平臺(tái)兼容。該套件包括話務(wù)員控制臺(tái)，記錄器，傳真服務(wù)器，計(jì)費(fèi)，隊(duì)列管理器，自動(dòng)話務(wù)員，移動(dòng)應(yīng)用程序，電話服務(wù)。
不過(guò)該服務(wù)套件在7月份爆出了多個(gè)漏洞,或殃及微軟,思科,惠普,中國(guó)電信等40余名企！以下是漏洞詳情：
1.存儲(chǔ)型跨站點(diǎn)腳本(xss) (cve-2020-15918)
影響：會(huì)話劫持
（已驗(yàn)證）在未公開(kāi)的 mida solutions eframework <= 2.9.0組件中發(fā)現(xiàn)了多個(gè)存儲(chǔ)型跨站點(diǎn)腳本（xss）漏洞。
2.反射型跨站點(diǎn)腳本漏洞（xss）（cve-2020-15919）
影響：會(huì)話劫持
（未經(jīng)身份驗(yàn)證）未公開(kāi)的 mida solutions eframework <= 2.9.0組件中發(fā)現(xiàn)了反射型(文本類型)跨站點(diǎn)腳本（xss）漏洞。
3.操作系統(tǒng)命令(os)注入遠(yuǎn)程執(zhí)行代碼漏洞（rce）和拒絕服務(wù)（dos）(cve-2020-15920)
影響：os代碼執(zhí)行
mida solutions eframework 2.9.0及之前版本中存在操作系統(tǒng)命令注入漏洞。它使未經(jīng)身份認(rèn)證的攻擊者能夠獲得具有管理（root）特權(quán)的遠(yuǎn)程代碼執(zhí)行（rce）。注入點(diǎn)位于未公開(kāi)的 php頁(yè)面上，該頁(yè)面可以使用get或post惡意負(fù)載作為目標(biāo)。
4.管理后門訪問(wèn)漏洞（cve-2020-15921）
影響：特權(quán)升級(jí)，os代碼執(zhí)行
mida solutions eframework <= 2.9.0 具有后門,該后門允許更改管理密碼和訪問(wèn)受限的功能。成功利用該漏洞可能使攻擊者可以使用管理帳戶訪問(wèn)web應(yīng)用程序并利用其他漏洞來(lái)獲取代碼執(zhí)行。
5.操作系統(tǒng)命令注入遠(yuǎn)程執(zhí)行代碼漏洞（rce）（cve-2020-15922）
影響：os代碼執(zhí)行
(未經(jīng)身份驗(yàn)證的<= 2.8.9，經(jīng)過(guò)身份驗(yàn)證的2.9.0）eframework <= 2.8.9中存在os命令注入，攻擊者可以通過(guò)操作系統(tǒng)命令以管理（root）特權(quán)來(lái)觸發(fā)遠(yuǎn)程代碼執(zhí)行（rce）。
6.路徑遍歷漏洞(cve-2020-15923)
影響：信息泄露
（未經(jīng)身份驗(yàn)證,具有root訪問(wèn)權(quán)限<= 2.8.9,具有用戶級(jí)訪問(wèn)權(quán)限2.9.0）eframework <= 2.9.0（未公開(kāi)）在其組件中具有../目錄遍歷漏洞。成功利用漏洞可以使攻擊者以管理特權(quán)遍歷文件系統(tǒng)以訪問(wèn)遠(yuǎn)程服務(wù)器上受限制目錄之外的文件或目錄。
7.sql注入漏洞(cve-2020-15924)
影響：數(shù)據(jù)庫(kù)泄露，信息泄露，權(quán)限提升
mida solutions eframework 2.9.0及之前版本中存在sql注入漏洞。攻擊者可利用該漏洞提升特權(quán)，獲取信息,造成數(shù)據(jù)泄露。
漏洞修復(fù)
mida solutions eframework 2.8.9版已經(jīng)過(guò)測(cè)試，這是測(cè)試時(shí)可用的最新版本。以前的版本也可能會(huì)受到影響。在今年第一季度，供應(yīng)商發(fā)布了較新的版本2.9.0。但是，最新版本仍然容易受到上述漏洞的攻擊。
目前廠商暫未發(fā)布修復(fù)措施解決此安全問(wèn)題，建議使用此軟件的用戶隨時(shí)關(guān)注廠商主頁(yè)或參考網(wǎng)址以獲取解決辦法：
home