- cnnvd编号:未知
- 危害等级: 高危
- cve编号:cve-2020-28184/28185/28186/28187/28188/28190/29189
- 漏洞类型: 未授权远程命令执行、错误访问控制、跨站脚本、信息泄漏、目录遍历
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:未知
- 发布时间:2020-12-28
- 更新时间:2020-12-28
漏洞简介
1、terramaster tos 介绍
tos (terramaster operating system) 是terramaster操作系统的缩写,linux平台下专门为terramaster云存储nas服务器开发的基于网页界面的操作系统。
2、漏洞描述
2020年,ihteam对tos版本4.2.06进行了安全分析,发现多个漏洞。漏洞类型如下:
terramaster tos多个漏洞描述如下:
cve-2020-28184
terramaster tos <= 4.2.06中的跨站点脚本(xss)漏洞允许经过远程身份验证的用户通过mod参数将任意web脚本或html注入/module/index.php页面。
cve-2020-28185
terramaster tos <= 4.2.06中的用户枚举漏洞允许远程未经身份验证的攻击者通过wizard/initialise.php页面的username参数来枚举和识别系统内的有效用户。
cve-2020-28186
terramaster tos <= 4.2.06中的电子邮件注入允许未经身份验证的远程攻击者利用忘记密码功能,重置账号密码实现账号接管。
cve-2020-28187
terramaster tos <= 4.2.06中的多个目录遍历漏洞允许远程身份验证的攻击者通过/tos/index.php?editor/fileget路径下的filename参数、 /include/ajax/logtable.php路径下的event参数和/include/core/index.php路径下的opt参数,读取文件系统中的任何文件。
cve-2020-28188
terramaster tos <= 4.2.06中的远程命令执行漏洞允许未经身份验证的远程攻击者通过/include/makecvs.php的event参数注入系统命令。
cve-2020-28190
terramaster tos <= 4.2.06通过不安全的通道(http)检查(系统和应用程序的)更新。中间人攻击者能够拦截这些请求,并替换为恶意的应用程序或更新。
cve-2020-29189
terramaster tos <= 4.2.06中的错误访问控制漏洞使经过身份验证的远程攻击者可以绕过只读限制,并获得nas中任何文件夹的完全访问权限。
漏洞公示
参考网站
受影响实体
补丁
目前厂商还未发布升级补丁修复漏洞,请受影响用户及时关注更新官方补丁。官方链接如下:
