初始发布日期:2023年9月21日 漏洞编号 CVE编号:CVE-2023-25650 CNNVD编号:CNNVD-2023-02977275 CVSS 3.1 基础得分 6.5中危(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N) 漏洞描述 中兴通讯ZXCLOUD iRAI产品存在任意文件下载漏洞,由于后端未对特殊字符串进行转义也未对路径做限制,具有普通用户权限的攻击者通过更改请求参数访问下载接口可导致任意文件下载。 影响和修复 产品名称 | 受影响版本号 | 修复版本号 | ZXCLOUD iRAI | 7.23.23和之前的版本 | 7.23.30 |
来源 中兴通讯感谢国家信息安全漏洞共享平台(CNVD)对我们产品的关注并与我们协同披露漏洞。 更新记录 2023年09月21日,初始发布。 版本升级方法 支持自动更新的设备会收到更新提示,用户可以按照提示升级。如未收到更新提示,请咨询相关服务提供商获取更新信息。 全球客户技术支持 http://support.zte.com.cn/support/web/Contact.aspx# 中兴通讯PSIRT https://www.zte.com.cn/china/cybersecurity/ztepsirt.html
|