OmniPCX Enterprise存在远程命令注入漏洞

受影响的系统：Alcatel-Lucent OmniPCX Enterprise，版本7.1及以下。

不受影响的系统：Alcatel-Lucent OmniPCX Enterprise，特定补丁版本如7.1 patch F5.401.19、6.2 patch F3.301.37及6.1 patch F2.502.32等。

详细描述：

关于BUGTRAQ ID：25694以及CVE(CAN) ID：CVE-2007-3010的安全漏洞通告。OmniPCX Enterprise作为企业级集成通讯解决方案的重要组成部分，其Web界面上的CGI脚本存在一个重大安全漏洞。这个名为masterCGI的CGI脚本提供了ping功能，允许用户通过Web界面ping服务器可达的任何IP地址。这一功能在执行时没有对输入的命令进行任何过滤，使得攻击者可以通过注入恶意代码执行任意命令。值得注意的是，攻击者需要利用内部字段分隔符${IFS}编码空格来绕过任何正常的或URL编码的空格，因为这些空格会终止命令执行。

信息来源：由RedTeam Pentesting GmbH披露（

建议措施：

厂商已经意识到这一安全漏洞并已经发布了修复补丁。为了保障您的系统安全，我们强烈建议您立即从Alcatel-Lucent的主页下载并安装升级补丁。您可以通过访问其企业产品页面获取相关补丁信息以及下载链接： Enterprise系统的管理员来说，定期更新和审查系统安全设置是非常必要的，以防止类似的安全事件再次发生。

请注意，及时采取安全措施，保护您的系统和数据不受潜在威胁。