中兴通讯一款会议管理系统存在命令执行漏洞

初始发布日期:2021830

 

CVE 编号

CVE-2021-21741

 

CVSS 3.1 基础得分

8.1高危(AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:L/A:L)

 

漏洞描述

中兴通讯一款会议管理系统存在命令执行漏洞。由于设备默认开启了soapmonitor的java object服务,攻击者通过向5001端口发送反序列化payload,成功利用该漏洞可以执行任意命令。

 

影响和修复

产品名称

受影响版本号

修复版本号

ZXV10 M910

ZXV10 M910 V1.2.21.01.04P01

ZXV10 M910 V1.2.20.01U01.01

ZXV10 M910 V1.2.19.01U01.01

ZXV10 M910 V1.2.16.01U01.01

ZXV10 M910 V1.2.23.01

 

致谢

感谢国家信息安全漏洞共享平台(CNVD)向中兴通讯PSIRT提供安全问题报告。

 

更新记录

2021830日,初始发布

 

支持团队的联系方式

1. ZTE全球客户支持中心热线:

0755-26770800

800-830-1118

400-830-1118

2. 登录中兴通讯技术支持网站的产品论坛提交问题

 

中兴通讯PSIRT

如果您需要获取帮助、反馈中兴通讯产品的漏洞信息、获取中兴通讯公司产品安全事件响应服务及获取中兴通讯产品漏洞信息,请联系中兴通讯产品安全事件响应组(ZTE PSIRT):psirt@zte.com.cnPGP Key ID:FF095577。