一 漏洞概述

1.1简介

SoftNAS Cloud被曝出存在1个OS命令注入漏洞（CVE-2018-14417）。SoftNAS Cloud是一个软件定义的NAS文件管理器，作为在公共云，私有云或混合云中运行的虚拟存储设备。SoftNAS Cloud提供企业级NAS功能，包括加密，快照，快速回滚和跨区域高可用性以及自动故障转移功能。

1.2漏洞危害

该漏洞源于web管理员控制台中的snserv脚本没有安全的过滤接受到的输入参数，导致攻击者可以在系统中执行命令。

1.3 影响版本

• SoftNAS Cloud version < 4.0.3

 

二 影响范围

以下是根据 ZoomEye 网络空间搜索引擎的探测结果,全球一共有 36,976,746 台设备可能受该漏洞的影响。

 

 

三 修复建议

1.SoftNAS官方已经发布了最新的4.0.3修复了上述漏洞，受影响的用户可以在产品中存储中心（SotrageCenter）的管理员界面进行升级。

2.技术业务咨询：

知道创宇技术业务咨询热线：400-060-9587（政府、国有企业）

                                               028-68360638（互联网企业）

 

四 相关链接

更新链接：https://www.softnas.com/docs/softnas/v3/html/updating_to_the_latest_version.html.