漏洞关键信息 漏洞名称: NitroSecurity ESM 8.4.0a - Remote Code Execution Edb-ID: 15318 CVE编号: 2010-4099 作者: FiliP Palian 漏洞类型: 远程执行 平台: Linux 发布日期: 2010-10-26 产品描述 NitroView ESM 是一款能在更短时间内识别、关联和缓解威胁的企业级安全信息与事件管理系统,比市场上的其他 SIEM 更快。 问题描述 在研究过程中发现 perl 模块 "ess.pm" 由于缺乏用户输入验证,易受远程代码执行漏洞的影响。 研究环境 此漏洞在 ESM 8.4.0a (NitroSecurity 2.6.22.19-24nssmp64 GNU/Linux) 上被发现和测试。 要求 在研究中需要在 "/usr/local/ess/CPConsoleServer.cfg" 文件中设置 "ESSPMDebug=1" 选项。无需在 NitroSecurity ESM 上进行身份验证即可成功执行攻击。 技术细节 由于 "ess.pm" 模块中的 "system()" 调用,通过向 NitroSecurity ESM Web 接口发送特制请求,可以导致远程命令执行。需要更改 IFS(内部字段分隔符)才能利用此漏洞。很可能其他方法也有效。 概念证明 以下代码在测试环境中成功执行(仅用于测试目的,请将 x.x.x.x 替换为你的 NitroSecurity ESM IP 地址): 影响 在运行 Web 服务器的用户的上下文中远程执行代码。 CVSS 分数 9(AV:N/AC:L/Au:N/C:P/I:P/A:C) 披露时间线 20100922: 首次联系厂商 20100922: 厂商回复 20100923: 向厂商发送漏洞详细信息和 PoC 20100923: 厂商确认漏洞 20101008: 厂商发布补丁 20101025: 发布安全公告 致谢 此漏洞由 s_n ;-p 发现。