一、背景介绍

近日，市委网信办技术支撑单位监测到山石网科 WAF存在远程代码执行漏洞。该产品的验证码页面存在命令注入漏洞，可通过构造恶意请求，拼接命令执行任意代码。

1.1漏洞描述

山石网科 Web应⽤防⽕墙（WAF）是一款Web应⽤安全防护产品，在 Web资产发现、漏洞评估、流量学习、威胁定位等⽅⾯应⽤智能分析和语义分析技术，帮助⽤⼾应对应⽤层⻛险。恶意攻击者在未授权的情况下可利⽤该漏洞控制服务器，利⽤难度低，危害⼤。⽬前山石网科已经发布补丁，建议尽快修复。

1.2漏洞编号

XVE-2024-26304

1.3漏洞等级

高危

二、修复建议

2.1受影响版本

5.5R6-2.6.7 ≤ version < 5.5R6-2.8.14

2.2修复建议

厂商已修复该漏洞，请尽快升级安全版本（5.5R6-2.8.14）。

https://www.hillstonenet.com.cn/security-notification/2024/08/21/mlzrld-2/