Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-04609

Опубликовано: 06 апр. 2022
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции requestTempFile (hw_view.php) веб-интерфейса единой платформы консолидации для резервного копирования и архивирования FUJITSU ETERNUS CS8000 связана с возможностью внедрения команд. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды

Вендор

Fujitsu Limited

Наименование ПО

FUJITSU ETERNUS CS8000

Версия ПО

до 8.1A SP02 P04 (FUJITSU ETERNUS CS8000)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- ограничение доступа к веб-интерфейсу FUJITSU ETERNUS CS8000 из сети Интернет;
- применение систем обнаружения и предотвращения вторжений.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 86%
0.03064
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-31795

CVSS3: 9.8
nvd
больше 3 лет назад

An issue was discovered on Fujitsu ETERNUS CentricStor CS8000 (Control Center) devices before 8.1A SP02 P04. The vulnerability resides in the grel_finfo function in grel.php. An attacker is able to influence the username (user), password (pw), and file-name (file) parameters and inject special characters such as semicolons, backticks, or command-substitution sequences in order to force the application to execute arbitrary commands.

github логотип

GHSA-jq58-2p74-6h99

CVSS3: 9.8
github
больше 3 лет назад

An issue was discovered on Fujitsu ETERNUS CentricStor CS8000 (Control Center) devices before 8.1A SP02 P04. The vulnerability resides in the grel_finfo function in grel.php. An attacker is able to influence the username (user), password (pw), and file-name (file) parameters and inject special characters such as semicolons, backticks, or command-substitution sequences in order to force the application to execute arbitrary commands.

EPSS

Процентиль: 86%
0.03064
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2