熵基科技股份有限公司百傲瑞达系统存在未授权访问漏洞&关于百傲瑞达安防管理系统平台存在逻辑缺陷漏洞-熵基科技

熵基科技股份有限公司百傲瑞达系统存在未授权访问漏洞&关于百傲瑞达安防管理系统平台存在逻辑缺陷漏洞

近日，发现熵基科技百傲瑞达平台产品漏洞问题，详细情况如下： 

一、漏洞说明

百傲瑞达旧架构采用的shiro版本低于1.5.0，存在权限绕过漏洞，导致在url上加/..或分号（;）时存在权限绕过的问题。

二、影响范围

攻击者可利用shiro的漏洞，在请求路径上加上URL保留字（;），从而绕过权限过滤，达到对接口的非法访问。

三、漏洞定级

按照CVSS V3定义，此漏洞等级为“低危”。

四、漏洞规避方案

从旧架构升级到新架构最新版本，可解决些问题；

五、漏洞解决方案

1.【方案一】升级到新版本。

六、后续改善计划

升级到新版本