米乐m6

bug阐述：

CVE-2020-11651：SaltStack认证绕过漏洞,攻击者通过构造恶意请求，可以绕过Salt Master的验证逻辑，调用相关未授权函数功能，从而可以造成远程命令执行漏洞。
CVE-2020-11652：Salt Master目录遍历漏洞，攻击者通过构造恶意请求，读取服务器上任意文件。
其他第三方组件漏洞：
CVE-2015-5589：PHP远程拒绝服务漏洞
CVE-2016-2554：PHP基于栈的缓冲区溢出漏洞
CVE-2018-7584：PHP栈缓冲区溢出漏洞
CVE-2016-7568：PHP整数溢出漏洞
CVE-2019-9023：PHP缓冲区错误漏洞
CVE-2017-12933：PHP堆缓冲区溢出漏洞

CVSS评估：

CVE	V3.1 Vector(Base)	Base Score	V3.1 Vector(Temporal Score)	Temporal Score
CVE-2020-11651	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:F/RL:O/RC:C	9.1
CVE-2020-11652	AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N	6.5	E:F/RL:O/RC:C	6
CVE-2015-5589	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:U/RL:O/RC:C	8.5
CVE-2016-2554	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:P/RL:O/RC:C	8.8
CVE-2018-7584	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:P/RL:O/RC:C	8.8
CVE-2016-7568	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:U/RL:O/RC:C	8.5
CVE-2019-9023	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:P/RL:O/RC:C	8.8
CVE-2017-12933	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:U/RL:O/RC:C	8.5

受影响到厂品：

产品名称	受影响产品版本	修复补丁包/升级包版本
AS13000	3.6.3.9	Salt-2015.8-AS13000--3.6.3.9-update.zip php-5.6.40-AS13000-3.6.3.9-update.zip
AS13000	3.6.3.9-SP1
AS13000	3.6.3.9-SP2
AS13000	3.6.3.9-SP3
AS13000	3.6.3.9-SP4
AS13000	3.6.3.9-SP5

新技术详情：

漏洞利用条件：
CVE-2020-11651，要求目标系统开启saltstack服务（默认4506端口），并可以通过公网访问。
漏洞详细描述：
CVE-2020-11651，该漏洞可被未经身份验证的远程攻击者通过发送特制的请求在mini𝔍on端服务器上执行任意命令。

缺陷搞定实施方案： 请使用户同时联系起来业主贴心服务人数或传送email至sun.meng@fzjzl.com，查看补丁怎么用，相应相关内容的的技术辅助。 FAQ： 无 更新系统信息： 20200519-V1.0-Initial Release 米乐m6 防护应激死机进行业务：

获取技术支持：//fzjzl.com🅰/lcjtww/2317452/2317456/2317460/index.html