熵基科技股份有限公司關(guān)于百傲瑞達安防管理系統平臺存在未授權訪(fǎng)問(wèn)漏洞的情況通報
熵基科技股份有限公司關(guān)于百傲瑞達安防管理系統平臺存在未授權訪(fǎng)問(wèn)漏洞的情況通報
近日,發(fā)現熵基科技百傲瑞達平臺產(chǎn)品漏洞問(wèn)題,詳細情況如下:
一、漏洞說(shuō)明
百傲瑞達舊架構未對控制層進(jìn)行權限過(guò)濾,導致在知道請求路徑后,普通用戶(hù)可以對較高級別的接口進(jìn)行訪(fǎng)問(wèn)。
二、影響范圍
普通用戶(hù)登錄的,在已知道接口路徑后,可進(jìn)行越權訪(fǎng)問(wèn)。
三、漏洞定級
按照CVSS V3定義,此漏洞等級為“低?!?。
四、漏洞規避方案
舊架構升級到新架構最新版本;
五、漏洞解決方案
1.【方案一】升級到新版本(新版本已杜絕此類(lèi)問(wèn)題)。
六、后續改善計劃
升級到新版本