NEC UNIVERGE IX 远程命令执行(CVE-2024-11013)与安全公告

关键漏洞信息 漏洞编号 NV24-009 CVE-2024-11013 CVE-2024-11014 概述 UNIVERGE IX/IX-R/IX-V 存在多个漏洞： 已登录管理界面的用户可以修改和发送WebGUI消息，允许执行任意CLI命令（CVE-2024-11013） 已登录管理界面的用户可以访问精心制作的链接，导致意外屏幕显示在管理界面上（CVE-2024-11014） 受影响产品 UNIVERGE IX 受影响版本 CVE-2024-11013: - UNIVERGE IX: Ver9.2 至 Ver10.10.21 - 对于Ver10.8及更高版本至Ver10.8.27，对于Ver10.9及更高版本至Ver10.9.14 - UNIVERGE IX-R/IX-V: Ver1.2.15及更高版本 CVE-2024-11014: - UNIVERGE IX: Ver9.2 至 Ver10.10.21 - 对于Ver10.8及更高版本至Ver10.8.27，对于Ver10.9及更高版本至Ver10.9.14 解决方案 请更新UNIVERGE IX: UNIVERGE IX UNIVERGE IX-R/IX-V 或者应用以下变通方法： 禁用WebGUI。 参考资料 CVE-2024-11013: CVE Record CVE-2024-11014: CVE Record 报告者 由Flat Security Inc. 的Mr. RyotaK报告给NEC-PSIRT 更新日期 2024年11月29日 第一版

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

NEC UNIVERGE IX 远程命令执行(CVE-2024-11013)与安全公告

目标达成感谢每一位支持者 — 我们达成了 100% 目标！