关键漏洞信息 错误访问控制 (Incorrect Access Control) CVE: CVE-2019-5891 受影响的产品和版本: Geocall – v. 6.3 (Build < 2:346977) 总结: 发现了Geocall v.6.3中的一个严重漏洞,该漏洞允许未认证的攻击者获取认证用户的cookie并登录到web应用。 修复措施: 升级至Build 2:346977. 不安全的权限设置 (Insecure Permission) CVE: CVE-2019-5890 受影响的产品和版本: Geocall – v. 6.3 (Build < 2:346977) 总结: 发现了Geocall v.6.3中的一个严重漏洞,弱认证和会话管理允许认证用户访问管理控制面板并执行管理功能。 修复措施: 升级至Build 2:346977. 跨站脚本攻击 (Cross Site Scripting - XSS) CVE: CVE-2019-5888 受影响的产品和版本: Geocall – v. 6.3 (Build < 2:346977) 总结: 在Geocall v.6.3中发现了多个反射型和存储型的XSS漏洞。 修复措施: 升级至Build 2:346977. 目录遍历漏洞 (Directory Traversal) CVE: CVE-2019-5889 受影响的产品和版本: Geocall – v. 6.3 (Build < 2:346977) 总结: 在Geocall v.6.3的日志管理中发现了一个目录遍历漏洞。 修复措施: 升级至Build 2:346977. 时间线: 2018/10/23 – 初始联系供应商 2018/10/23 – 供应商确认并同意讨论该问题及协调披露 2019/01/08 – 供应商发布修复版本 发现者: Claudio Cinquino 参考资料: https://cve.mitre.org/cgi-bin/cvename.cgi?name=相关CVE编号