诺基亚WaveSuite网络运营中心(WS-NOC)平台——电信和企业网络环境的核心组件——被曝存在两个严重漏洞(CVE-2025-24938和CVE-2025-24936),攻击者可利用这些漏洞在底层操作系统执行任意命令。这两个漏洞的CVSS评分分别为8.4和9.0,甚至可通过低权限账户进行利用。
高危漏洞技术细节
CVE-2025-24938漏洞源于通过Web界面创建账户时对用户输入的验证不足。该漏洞允许高权限攻击者(如管理员)直接向服务器操作系统注入命令。
安全公告指出:”拥有应用程序高权限(管理员)访问权的攻击者,有可能以Web服务器上下文在操作系统上执行命令。”由于该漏洞组件与网络堆栈绑定,任何能访问管理面板的互联网用户都可能成为攻击面,配置不当的部署可能演变为全面安全事件。
CVE-2025-24936漏洞则通过未过滤的URL参数实现命令注入。与前者不同,该漏洞可被低权限用户利用,显著提升了其严重性和潜在影响。公告强调:”拥有应用程序低权限访问权的攻击者,可能以Web服务器上下文在操作系统上执行命令。”
全球电信网络面临威胁
鉴于WS-NOC平台在全球电信环境中的广泛应用,这些漏洞构成了严重的远程执行威胁。受影响版本包括WS-NOC 23.6、23.12和24.6,官方已在24.6 FP3及后续版本中发布补丁。
转自: FreeBuf
诺基亚曝高危漏洞致电信网络面临远程代码执行风险
发布日期:2025-07-26
领取优惠
提交成功!