漏洞概述
Sangfor 运维安全管理系统(Operation and Maintenance Security Management System)在 3.0.12 及更早版本中存在命令注入漏洞。该漏洞位于组件 HTTP POST 请求处理器的 /equipment/get_Information 文件中的 getInformation 函数,攻击者通过操纵请求参数 fortEquipmentIp 可实现远程命令注入。目前该漏洞的利用代码已公开披露,存在被实际利用的风险。
漏洞详情
- CVE 编号:CVE-2026-1414
- 漏洞类型:命令注入(CWE-74、CWE-77)
- CVSS 评分:CVSS v3.1 基础评分为 6.3(中危);CVSS v4.0 基础评分为 5.3(中危)
- 影响版本:Sangfor 运维安全管理系统 ≤ 3.0.12
影响范围
该漏洞影响 Sangfor 运维安全管理系统所有版本至 3.0.12(含)。受影响系统若暴露于公网或内网中可被低权限用户访问,则可能被远程利用。
风险分析
攻击者在具备低权限账户的情况下,可通过构造恶意的 HTTP POST 请求,向 fortEquipmentIp 参数注入操作系统命令,从而在目标服务器上执行任意命令。可能导致信息泄露、系统完整性破坏或服务中断等后果。由于漏洞利用代码已公开,攻击门槛较低,存在较高的实际利用风险。
修复建议
- 建议用户立即联系 Sangfor 官方获取安全更新或升级至已修复该漏洞的版本。
- 在官方补丁发布前,建议限制对 /equipment/get_Information 接口的访问权限,仅允许可信 IP 或用户访问,并部署 Web 应用防火墙(WAF)规则以拦截可疑命令注入载荷。
