关键信息: 1. 漏洞描述: - CVE-2024-7477: SQL注入漏洞,允许具有管理员权限的命令行界面(CLI)用户执行任意查询。 - CVE-2024-7480: 不适当访问控制漏洞,允许具有管理员权限的命令行界面(CLI)用户读取系统上的任意文件。 2. 受影响的产品: - Avaya Aura System Manager: 版本10.1.x.x和10.2.x.x。 3. 修复措施: - 对于版本10.1.x.x和10.2.x.x,建议升级到10.1.3.3或更高版本,并安装Avaya Breeze® Element Manager 3.9.0.0.390038或更高版本。 4. CVSS评分: - CVE-2024-7477: CVSSv3 Base Score 6.5 (Medium) - CVE-2024-7480: CVSSv3 Base Score 4.2 (Medium) 5. 免责声明: - 信息仅供参考,不保证准确性。 - 不适用于已过生命周期的产品版本。 - Avaya不承担任何责任,包括但不限于直接、间接、特殊或间接损失。 6. 联系信息: - 客户或合作伙伴应通过标准支持流程报告Avaya产品的任何安全问题。 - 独立安全研究人员可联系Avaya的安全警报团队。 总结: Avaya Aura System Manager存在两个高风险的SQL注入和访问控制漏洞。 受影响版本为10.1.x.x和10.2.x.x。 建议升级到10.1.3.3或更高版本,并安装特定的Avaya Breeze® Element Manager版本。 CVSS评分显示中等风险。 免责声明强调信息仅供参考,不适用于已过生命周期的产品版本,并不承担任何责任。