漏洞概述 HCL BigFix Remote Control 受到多个安全漏洞的影响,具体包括: 1. CVE-2026-33870:不一致的 HTTP 请求解释(Inconsistent Interpretation of HTTP Requests) 2. CVE-2026-33871:无限制的资源分配(Allocation of Resources Without Limits) 3. CVE-2026-21785:无回退的失败定义指令(Failure to Define Directive with No Fallback) 影响范围 CVE-2026-33870: - 影响版本:HCL BigFix Remote Control 版本 10.1.0.442 及更早版本 - 组件:BigFix Remote Control Server CVE-2026-33871: - 影响版本:HCL BigFix Remote Control 版本 4.1.132.Final 和 4.2.10.Final 及更早版本 - 组件:BigFix Remote Control Server 修复方案 CVE-2026-33870: - 修复版本:4.1.132.Final 和 4.2.10.Final CVE-2026-33871: - 修复版本:4.1.132.Final 和 4.2.10.Final 详细信息 CVE-2026-33870 描述:Netty 是一个异步事件驱动的网络应用框架。在 4.1.132.Final 和 4.2.10.Final 之前的版本中,Netty 错误地解析了 HTTP 请求中的 帧,导致请求走私攻击。 CVSS 基础评分:7.5 - High CVSS 向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVE-2026-33871 描述:Netty 是一个异步事件驱动的网络应用框架。在 4.1.132.Final 和 4.2.10.Final 之前的版本中,远程攻击者可以通过发送大量的 帧来触发 BigFix Remote Control 服务器的 CPU 消耗,从而造成拒绝服务攻击。 CVSS 基础评分:7.5 - High CVSS 向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N:H/A:N 总结 HCL BigFix Remote Control 存在多个安全漏洞,影响特定版本的产品。建议用户尽快升级到修复版本以消除潜在风险。