ASUS BMC's firmware: path traversal - 刪除視頻檔案功能

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安 ... CVE ID, CVE-2021-28205. CVSS, 4.9 (Medium) ... 漏洞通報者, ASUS. 公開日期, 2021-04-06 ... 按Enter到主內容區::: 首頁 資安服務 台灣漏洞揭露平台(TVN) TVN(TaiwanVulnerabilityNote)漏洞公告 發布日期：2021-04-06 字型大小： 小 中 大 回上一頁 友善列印 ASUSBMC'sfirmware:pathtraversal-刪除視頻檔案功能 TVNID TVN-202103032 CVEID CVE-2021-28205 CVSS 4.9(Medium)CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N 影響產品 受影響產品之對應韌體：Z10PR-D161.14.51ASMB8-iKVM1.14.51Z10PE-D16WS1.14.2 問題描述 ASUSBMC'sfirmware之Web管理頁面中的特定函式(刪除視頻檔案功能)未作特殊字元的過濾，使攻擊者取得管理者權限後，可利用PathTraversal手法存取系統檔案。

解決方法 以下受影響產品更新相對韌體至相對應版本：Z10PR-D161.16.1ASMB8-iKVM1.16.1Z10PE-D16WS1.16.1 漏洞通報者 ASUS 公開日期 2021-04-06 相關連結 CVE-2021-28205 ASUSProductSecurityAdvisory ASUSSupport 回頁首