Mida Solutions爆出多个漏洞,或殃及微软,思科,惠普,中国电信等40余名企

本篇文章1088字，读完约3分钟

蓝雨青解决方案是一家专注于统一通信(uc)的高技能意大利公司。自2004年以来，它提供了独特的专业知识和一整套先进的服务和语音应用，其使命是为通信提供增值的创新技术。

蓝雨青团队已经成为统一协作和专业沟通领域的全球领导者，是几乎所有行业的服务提供商和系统集成商。其合作伙伴包括微软、思科、惠普、中国电信等40家世界知名企业。

蓝雨青eframework是mida solutions拥有的一套完整的视频和语音应用服务套件，几乎与所有主要的uc平台兼容。该套件包括操作员控制台、记录器、传真服务器、计费、队列管理器、自动操作员、移动应用和电话服务。

然而，7月份，该服务套件出现了许多漏洞，或影响了微软、思科、惠普和中国电信等40多家企业！以下是该漏洞的详细信息:

1.存储的跨站点脚本(xss) (cve-2020-15918)

影响:会话劫持

(已验证)在未发布的mida解决方案电子框架2中反映了跨站点脚本漏洞(XSS)。0 (CVE-2020-15919)

影响:会话劫持

(未经验证)未发布的mida解决方案框架3。0操作系统命令注入远程代码执行漏洞和拒绝服务

影响:操作系统代码执行

mida解决方案ef framework 2 . 9 . 0及之前版本中存在操作系统命令注入漏洞。它使未经身份验证的攻击者能够获得具有管理(根)权限的远程代码执行(rce)。注入点位于一个未发布的php页面上，它可以针对get或post的恶意加载。

4.管理后门访问漏洞(cve-2020-15921)

影响:权限升级、操作系统代码执行

mida解决方案eframework 5中的操作系统命令注入远程代码执行漏洞(rce)。0 (CVE-2020-15922)

影响:操作系统代码执行

(未经验证6。路径遍历漏洞(cve-2020-15923)

影响:信息泄露

(未经身份验证，具有root访问权限。7.sql注入漏洞(cve-2020-15924)

影响:数据库泄漏、信息泄漏和特权增强

mida解决方案eframework 2.9.0及之前版本中存在sql注入漏洞。攻击者可以利用此漏洞提升权限、获取信息并导致数据泄漏。

漏洞修复

MIDA解决方案e框架版本2.8.9已经过测试，这是测试时可用的最新版本。以前的版本也可能会受到影响。今年第一季度，供应商发布了更新版本2.9.0。但是，最新版本仍然容易受到上述漏洞的攻击。

目前，制造商还没有发布修复措施来解决这个安全问题。建议使用本软件的用户随时关注制造商的主页或参考网站，以获取解决方案:

midasolutions/

来源：搜狐微门户