CWE-98: PHP プログラム ('PHP リモートファイルインクルージョン') の INCLUDE/REQUIRE ステートメントのファイル名の不適切な制御
ONS-S8 - スペクトラアグリゲーションスイッチのウェブサービスには、ユーザー入力を適切に検証しない機能が含まれており、攻撃者がディレクトリを横断したり、認証をバイパスしたり、リモートコードを実行したりすることができます。 ONS-S8 - スペクトラアグリゲーションスイッチ: 1.3.7 以前が影響を受けます。
Optigo Networksでは、OneViewへの接続に使用される ONS-S8 のポートに、常に一意の管理VLANを使用することをお勧めします。
また、Optigo Networks では、ユーザーが以下の追加緩和策の少なくとも 1 つを実装することを推奨しています。
BMSコンピュータの専用NICを使用し、このコンピュータだけを使用してOneViewに接続し、OTネットワーク構成を管理します。
OneViewへのアクセスが許可されたデバイスのホワイトリストでルーターファイアウォールを設定します。
安全なVPN経由でOneViewに接続します。
Team82 は、世界中のサイバーセキュリティエコシステムの安全性を確保するために、影響を受けるベンダーに、調整されたタイムリーな方法で脆弱性を個人的に報告することにコミットしています。 ベンダーおよび研究コミュニティと関わりを持つために、 Team82 は、当社の協調的開示ポリシーをダウンロードして共有するようお客様にお願いしています。Team82 は、製品およびサービスの脆弱性を発見した場合、この報告および開示プロセスに従います。
