关键信息 漏洞概述 CVSS: 6.3 威胁级别: 可远程利用/攻击复杂度低 供应商: ETIC Telecom 设备: Remote Access Server (RAS) 漏洞类型: 数据真实性验证不足、路径遍历、危险类型文件的无限制上传、跨站脚本、跨站请求伪造、敏感信息明文传输 风险评估 成功利用这些漏洞可能使攻击者获取敏感信息并破坏脆弱设备和其他连接的机器。 技术细节 影响的产品 ETIC Telecom Remote Access Server (RAS) 的以下版本受到影响: 所有4.5.0之前的版本 (CVE-2022-3703, CVE-2022-41607, CVE-2022-40981, CVE-2024-26155, CVE-2024-26157, CVE-2024-26154, CVE-2024-26153, and CVE-2024-26153. 漏洞详情 数据真实性验证不足 (CVE-2022-3703) 所有4.5.0及之前的版本都易受此漏洞的影响。 路径遍历 (CVE-2022-41607) 所有4.5.0及之前的版本都易受此漏洞的影响。 危险类型文件的无限制上传 (CVE-2022-40981) 所有4.5.0及之前的版本都易受此漏洞的影响。 跨站脚本 (CVE-2024-26156) 所有4.5.0及之前的版本都易受此漏洞的影响。 跨站请求伪造 (CVE-2024-26153) 所有4.9.19之前的版本都易受此漏洞的影响。 背景 关键基础设施部门: 通信、信息技术、能源 部署国家/地区: 全球 公司总部所在地: 法国 研究者 Haviv Vaizman、Hay Mizrachi、Alik Koldobsky、Ofir Manzur 和 Nikolay Sokolik 代表 OTORIO 向 CISA 报告了这些漏洞。 缓解措施 对于已安装的设备,ETIC Telecom 建议采取措施如固件升级、验证固件来源、配置文件验证等。