AXIS OS 5.51 < 6.50.5.5 / 7.0 < 8.40.4.3 / 9.0 < 9.80.3.5 / 10.0 < 10.8 多个漏洞
high Nessus 插件 ID 153948
语言:
简介
远程主机受到多个漏洞影响。描述
远程主机上运行的固件版本易受到多个漏洞的攻击,其中包括:- 未正确验证与 SMTP 通知相关的用户控制参数。这可能导致缓冲区溢出,从而导致崩溃和数据泄漏。(CVE-2021-31986)
- 未正确验证与 SMTP 测试功能相关的用户控制参数,因此可能绕过被阻止的网络收件人。(CVE-2021-31987)
- 未正确验证与 SMTP 测试功能相关的用户控制参数,因此可能在生成的测试电子邮件中添加回车和换行 (CRLF) 控制字符并包含任意 SMTP 标头。(CVE-2021-31988)
请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号。
解决方案
升级主机固件。另见
http://www.nessus.org/u?342a9fe7
http://www.nessus.org/u?675da90e
https://www.axis.com/files/tech_notes/CVE-2021-31988.pdf
插件详情
严重性: High
ID: 153948
文件名: axis_9_80_3_5.nasl
版本: 1.5
类型: remote
系列: Misc.
发布时间: 2021/10/8
最近更新时间: 2022/2/9
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2021-31988
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:axis:network_camera_firmware
必需的 KB 项: installed_sw/AXIS device
易利用性: No known exploits are available
补丁发布日期: 2021/10/5
漏洞发布日期: 2021/10/5
参考资料信息
CVE: CVE-2021-31986, CVE-2021-31987, CVE-2021-31988
IAVA: 2021-A-0452