[漏洞通告]CVE-2020-7980/Intellian Satellian Aptus Web控制台存在远程命令执行漏洞

漏洞描述

在Intellian Aptus Web1.24以前的版本中允许攻击者利用JSON数据中的Q字段对/cgi-bin/libagent.cgi执行任意操作系统命令,严重影响服务器安全.该漏洞在部分情况下需要可认证的cookie进行鉴权以后才能触发.

CVE编号

CVE-2020-7980

漏洞威胁等级

高危

影响范围

Intellian Aptus Web <= 1.24

漏洞验证

使用公开payload进行验证

修复建议

升级至官方最新版本

时间轴

[0] 2020/01/29 NVD修改该漏洞
[1] 2020/02/06 亚信安全网络攻防实验室分析&复现该漏洞并发布漏洞通告

Reference

https://nvd.nist.gov/vuln/detail/CVE-2020-7980
https://cxsecurity.com/issue/WLB-2020010216