JVN#59387134:CLUSTERPRO X与EXPRESSCLUSTER X存在OS命令注入漏洞
发布时间:2025/11/07
最后更新:2025/11/07
概述
NEC公司提供的CLUSTERPRO X和EXPRESSCLUSTER X存在操作系统命令注入漏洞。
受影响产品
- CLUSTERPRO X 4.0-5.2 for Linux全系列版本
- EXPRESSCLUSTER X 4.0-5.2 for Linux全系列版本
- CLUSTERPRO X SingleServerSafe 4.0-5.2 for Linux全系列版本
- EXPRESSCLUSTER X SingleServerSafe 4.0-5.2 for Linux全系列版本
漏洞描述
NEC公司提供的CLUSTERPRO X和EXPRESSCLUSTER X存在以下漏洞:
操作系统命令注入(CWE-78)
CVSS评分:
- CVSS:4.0 基础评分9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)
- CVSS:3.0 基础评分9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
- CVE编号:CVE-2025-11546
影响
攻击者通过发送特制数据包,可在无需认证的情况下在受影响产品中执行任意操作系统命令。
解决方案
软件更新
根据开发商提供的信息,将软件更新至最新版本。
临时缓解措施
应用以下缓解措施以避免漏洞影响:
- 启用防火墙并阻止不必要的数据包
- 仅允许来自集群主机的以下端口连接请求:
- 数据传输(默认端口:29002)
更多详细信息请参考开发商提供的说明。
厂商状态
| 厂商 | 状态 | 最后更新 | 厂商说明 |
|---|---|---|---|
| NEC Corporation | 受影响 | 2025/11/07 |
参考信息
- JPCERT/CC补充说明
- JPCERT/CC漏洞分析
- JVNDB-2025-000102
致谢
NEC公司向IPA报告此漏洞,通过JVN向用户提供解决方案。JPCERT/CC与NEC公司在信息安全早期预警合作框架下进行了协调。
其他信息
- JPCERT警报
- JPCERT报告
- CERT公告
- CPNI公告
- TRnotes
- CVE
- JVN iPedia