瑞友天翼2024SQL注入漏洞

admin

102506
文章

87
评论

2024年2月23日09:44:18评论76 views字数 519阅读1分43秒阅读模式

免责声明

本文仅用于参考和学习交流，对于使用本文所提供的信息所造成的任何直接或间接的后果和损失，使用者需自行承担责任。本文的作者以及本公众号团队对此不承担任何责任。请在使用本文内容时谨慎评估风险并做出独立判断。谢谢！

前言

将用户所有应用软件集中部署在天翼服务器，客户端通过WEB即可快速安全的访问经服务器上授权的应用软件，实现集中应用、远程接入、协同办公等。操作终端无需再安装应用程序，通过RAP 协议（Remote Application Protocol），可让用户快速访问服务器上的各类应用软件；RAP 协议只传输鼠标、键盘及屏幕变化的矢量数据，用户不再受客户端和连接性能要求的限制，达到在任何时间、任何地点，利用任何设备、任何网络连接方式均可高效安全地访问服务器（群）上的应用程序和关键资源。

正文

1.搜索和探测

Fofa搜索语法：title=="瑞友应用虚拟化系统"

瑞友天翼2024SQL注入漏洞

2.通过poc验证写入文件

瑞友天翼2024SQL注入漏洞

3.访问该文件，发现内容为自定义内容

瑞友天翼2024SQL注入漏洞

检测工具回复

ruiyouxunihua

修复建议

先限制相关路由的访问权限作为缓解措施，漏洞危害较大自查到漏洞后建议尽快采取措施。

原文始发于微信公众号（玄知安全实验室）：瑞友天翼2024SQL注入漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

瑞友天翼2024SQL注入漏洞

Craft CMS 远程代码执行漏洞复现（附nuclei POC）

漏洞预警 | Google Chrome堆缓冲区溢出漏洞

漏洞预警 | GeoNode请求伪造漏洞

漏洞预警 | Docker Desktop增强容器隔离限制绕过漏洞

漏洞预警 | D-Link D-View 8 硬编码密钥漏洞

(CVE-2023-30591) NodeBB 预身份验证拒绝服务

CVE-2023-41081：Apache Tomcat 连接器中的高严重性漏洞

禅道项目管理系统身份认证绕过[漏洞复现]

LiveGBS-save-任意用户添加漏洞复现

禅道身份认证绕过漏洞QVD-2024-15263

发表评论

在线咨询

微信