浪潮产品ClusterEngine V4.0部分接口由于输入参数校验不正确，导致攻击者可以通过发送特殊构造的报文利用该漏洞远程执行命令、绕过系统登录等。具体包括
1、 ClusterEngineV4.0 登录处任意命令执行（CVE-2020-21224）
2、 ClusterEngineV4.0 /sysShell、/alarmConfig等接口任意命令执行
3、 ClusterEngineV4.0 Web端任意用户名密码登陆
浪潮已发布补丁包/升级包修复上述漏洞：

注：ClusterEngineV4.0版本产品生命周期已结束，该版本已不在浪潮产品维护范围之内，当前浪潮已真诚的解决了不再支持的ClusterEngineV4.0版本中的关键漏洞。今后，这将是例外，而不是标准做法。

致谢：

浪潮感谢kejaly of BMH Security Team上报这些安全漏洞。

NA

2021-04-13 V1.0 INITIAL
2021-04-14 V1.1 UPDATE 增加SA链接
2021-06-18 V1.1 UPDATE 更新漏洞和修复方案
2021-11-18 V1.2 UPDATE 增加致谢

浪潮一贯主张尽全力保障产品用户的最终利益，遵循负责任的安全事件披露原则，并通过产品安全问题处理机制处理产品安全问题。

反馈浪潮产品安全问题：https://www.inspur.com/lcjtww/psirt/vulnerability-management/index.html#report_ldbg

订阅浪潮产品安全信息：https://en.inspur.com/en/security_bulletins/vulnerability_subscription/index.html

获取技术支持：https://www.inspur.com/lcjtww/2317452/2317456/2317460/index.html