一、 漏洞 CVE-2021-27858 基础信息
漏洞信息
                                        # FatPipe软件中的缺失授权漏洞

## 概述
FatPipe WARP, IPVPN, 和 MPVPN 软件的 web 管理界面存在授权不足的漏洞,允许远程攻击者访问特定的 URL,可能导致信息泄露。

## 影响版本
- 10.1.2r60p91 之前的版本
- 10.2.2r42 之前的版本

## 细节
在受影响版本中,web 管理界面缺乏适当授权,攻击者可以访问 URL `/fpui/jsp/index.jsp`。导致的具体影响尚不清楚,但很可能涉及机密性方面的泄露问题。此外,较旧版本也可能存在此漏洞。

## 影响
- 遥控访问敏感界面 `/fpui/jsp/index.jsp`
- 可能导致机密性泄露
- FatPipe 漏洞公告编号:FPSA004
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Missing authorization vulnerability in FatPipe software
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A missing authorization vulnerability in the web management interface of FatPipe WARP, IPVPN, and MPVPN software prior to versions 10.1.2r60p91 and 10.2.2r42 allows a remote attacker to access at least the URL "/fpui/jsp/index.jsp" leading to unknown impact, presumably some violation of confidentiality. Older versions of FatPipe software may also be vulnerable. The FatPipe advisory identifier for this vulnerability is FPSA004.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
FatPipe 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
FatPipe是美国FatPipe公司的一种 WAN 冗余技术,它为公司提供自动和动态故障转移,因为广域网组件或服务故障导致数据线连接中断。 FatPipe WARP, IPVPN和MPVPN 10.1.2r60p91 和 10.2.2r42之前版本存在安全漏洞,该漏洞源于软件的web管理界面中缺少授权。攻击者可利用该漏洞访问URL“/fpui/jsp/index.jsp”,从而导致未知影响,可能违反了保密性。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-27858 的公开POC
# POC 描述 源链接 神龙链接
1 FatPipe WARP, IPVPN, and MPVPN software prior to versions 10.1.2r60p91 and 10.2.2r42 contain a missing authorization caused by lack of access control in the web management interface, letting remote attackers access sensitive URLs, exploit requires no authentication. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2021/CVE-2021-27858.yaml POC详情
三、漏洞 CVE-2021-27858 的情报信息
四、漏洞 CVE-2021-27858 的评论

暂无评论

发表评论