威速V2视频会议系统sysId参数存在SQL命令执行漏洞CNVD-2017-01965

admin

103266
文章

87
评论

2022年10月9日12:50:50评论278 views字数 532阅读1分46秒阅读模式

服务简介

威速V2视频会议系统是一款视频会议系统。

漏洞描述

威速V2视频会议系统sysId参数存在SQL命令执行漏洞。允许攻击者远程写入shell，获得服务器权限。

漏洞影响

北京威速科技有限公司v2视频会议系统 6.5.0.26

危害等级

高

漏洞编号

CNVD-2017-01965

环境搭建

无可复现环境

漏洞复现

威速V2视频会议系统sysId参数存在SQL命令执行漏洞CNVD-2017-01965

sql注入点

/conf/jsp/systembulletin/bulletinAction.do?operator=details&sysId=-1%20union%20select%201,user(),3,database(),5%23

威速V2视频会议系统sysId参数存在SQL命令执行漏洞CNVD-2017-01965

外部实体注入点

/conf/services/ConferenceWebService?wsdl

威速V2视频会议系统sysId参数存在SQL命令执行漏洞CNVD-2017-01965

通过构造payload数据包请求上传shell

威速V2视频会议系统sysId参数存在SQL命令执行漏洞CNVD-2017-01965

修复方式

更新到最新版

http://www.v2tech.com/

参考连接

http://loudong.360.cn/vul/info/id/207547

https://butian.360.cn/vul/info/qid/QTVA-2017-622646

原文始发于微信公众号（CTS纵横安全实验室）：威速V2视频会议系统sysId参数存在SQL命令执行漏洞CNVD-2017-01965

左青龙
微信扫一扫

右白虎
微信扫一扫

威速V2视频会议系统sysId参数存在SQL命令执行漏洞CNVD-2017-01965

douphp代码执行漏洞

Apache Tomcat输入验证错误漏洞（CVE-2024-24549）

海康威视运行管理中心远程命令执行漏洞(fastjson)

大华智慧园区综合管理平台 pay 远程代码执行

开源数据大屏AJ-Report存在远程命令执行漏洞

瑞友天翼应用虚拟化系统index.php接口处存在SQL注入漏洞导致RCE

【0day】瑞友天翼应用虚拟化系统appsave存在SQL注入漏洞-复现

漏洞复现 | MetaCRM客户关系管理系统-任意文件上传漏洞【附poc】

电信网关配置管理系统存在弱口令

【漏洞复现】挂号系统-login-sql注入漏洞复现

发表评论

在线咨询

微信