昆腾公司发布了一份重要的安全公告,警告用户 StorNext GUI API 中存在两个高危漏洞,这些漏洞会影响多种 StorNext 产品。如果这些漏洞同时被利用,可能会在易受攻击的系统上导致远程代码执行 (RCE),对企业存储环境构成重大风险。
安全公告警告称:“ StorNext GUI API 中发现了两个高严重性安全漏洞……当这两个漏洞结合在一起时,StorNext 就有可能面临远程代码执行 (RCE) 的威胁。 ”
这两个严重漏洞是:
- CVE-2025-46616(CVSS 9.9):此缺陷允许未经授权的文件上传,从而可能导致任意远程代码执行。
- CVE-2025-46617(CVSS 7.1):此漏洞允许暴露内部 StorNext 配置并使用未记录的用户凭据对配置参数进行未经授权的修改。
该公告指出,如果不更新,以下 Quantum 产品将容易受到攻击:
- 所有当前支持的 Workflow Director 版本 (6.3.1+) 和 StorNext RYO 7.2.4 之前版本
- ActiveScale Cold Storage 的所有版本(不带 Cold Storage 的 ActiveScale 不受影响)
管理员可以通过在 StorNext GUI 上运行简单的 curl 命令来验证是否存在漏洞。如果系统在使用特定凭证查询时返回“响应代码:200”,则表明系统存在漏洞。
Quantum 提供了一种明确的方法:“如果您收到的输出显示‘响应代码:200’,则您的 StorNext 存在安全漏洞。 ”
昆腾已发布缓解脚本 (stornext-mitigation.zip),用于禁用易受攻击的 API 端点并保护受影响的系统,直至全面升级至 StorNext 7.2.4。应用缓解措施非常简单,只需 30 秒,并需重新启动 StorNext Web 服务。
管理员应注意一个副作用:如果您正在为 StorNext 设置高可用性 (HA),则必须暂时禁用缓解措施以完成 HA 配置,然后再重新应用。
Quantum 强烈建议管理员尽快升级或应用提供的缓解补丁。
发表评论
您还未登录,请先登录。
登录