2023年04月18日以来,国家信息安全漏洞共享平台(CNVD)向我司通报了5个漏洞,具体的漏洞信息如下:
CNVD-C-2024-690220 KingH5Stream存在目录遍历漏洞
CNVD-C-2024-690290 KingH5Stream存在越权访问漏洞
CNVD-C-2024-699029 北京金沙3983www下载发展有限公司-KingH5Stream存在未授权访问漏洞
CNVD-C-2024-349016 北京金沙3983www下载发展有限公司KingH5Stream存在信息泄露漏洞
CNVD-C-2023-246769 KingSuperSCADA全组态型监控平台存在目录遍历漏洞
漏洞描述:
北京金沙3983www下载发展有限公司KingH5Stream存在接口可实现目录遍历漏洞,攻击者可利用该漏洞对服务器进行文件遍历。
北京金沙3983www下载发展有限公司KingH5Stream的未公开接口存在越权访问漏洞,攻击者可利用该漏洞对服务器进行越权访问,获得管理员权限。
北京金沙3983www下载发展有限公司-KingH5Stream存在未授权访问漏洞。
北京金沙3983www下载发展有限公司KingH5Stream存在信息泄露漏洞。
北京金沙3983www下载发展有限公司KingH5Stream存在目录遍历漏洞,攻击者可利用该漏洞获取目录下的敏感文件。
针对上述漏洞,我司及时采取措施,对KingH5Stream版本进行漏洞验证与修复,安全补丁文件详情如下:
序号 | 漏洞名称 | 发现时间 | 补丁发布时间 | 补丁文件 | 影响产品 | 修复方法 |
1 | KingH5Stream存在目录遍历漏洞 | 2024/9/26 | 2024/10/11 | KingH5Stream | 将conf目录下的h5ss.conf文件内的user中的bAnonymousView改成false | |
2 | KingH5Stream存在越权访问漏洞 | 2024/9/26 | 2024/10/11 | KingH5Stream | 将conf目录下的h5ss.conf文件内的user中的bAnonymousView改成false | |
3 | 北京金沙3983www下载发展有限公司-KingH5Stream存在未授权访问漏洞 | 2024/9/26 | 2024/10/11 | KingH5Stream | 替换补丁文件即可 | |
4 | 北京金沙3983www下载发展有限公司KingH5Stream存在信息泄露漏洞 | 2024/6/27 | 2024/10/11 | KingH5Stream | 将conf目录下的h5ss.conf文件内的user中的bAnonymousView改成false | |
5 | KingSuperSCADA全组态型监控平台存在目录遍历漏洞 | 2023/4/18 | 2024/10/11 | KingH5Stream | 将conf目录下的h5ss.conf文件内的user中的bAnonymousView改成false |
为有效应对以上漏洞带来的安全威胁,建议还在使用KingH5Stream 的用户及时修复。
北京金沙3983www下载发展有限公司
2024年10月11日
