PRTG命令注入漏洞安全通告

发布时间 2018-06-27

漏洞编号和级别


CVE-2018-9276  高危  CVSS分值:官方未评定


影响范围


PRTG < 18.2.39


漏洞概述


PRTG: 功能强大且简单易用的网络监控App,在国内有较多的用户。PRTG的授权用户,可以使用App提供的PowerShell功能,由于没有正确验证用户输入的参数,导致命令注入。

 

 

漏洞验证


漏洞发现者,使用命令注入,在C盘创建了Testing123.txt文件。

 

 

 

修复建议


 补丁地址:
https://www.paessler.com/download/prtg-download?download=1


参考链接


https://www.codewatch.org/blog/?p=453


https://www.securityfocus.com/archive/1/542103/30/0/threaded


http://www.paessler.cn/prtg/