迅饶sunfull-soap-任意用户添加漏洞复现

2024年5月17日17:36:25评论57 views字数 380阅读1分16秒阅读模式

01产品描述

讯饶，全称上海迅饶自动化科技有限公司，是一家专注于数据采集、系统集成、自动化通讯及楼宇自控的高新技术企业。公司致力于研发和提供工控、交通、楼宇等领域的通信网关产品和组态软件，特别是在工业通信领域拥有较高的研发水平。讯饶以其专业的技术团队和创新能力，在自动化行业中树立了良好的口碑，其产品和服务广泛应用于各个领域，为客户提供高效、稳定的自动化解决方案。

02FOFA语法

server="SunFull-Webs" || icon_hash="-1384370370"

03漏洞复现

04修复建议

1、接口鉴权

2、把sql语句封装，而不是直接可控制整个sql语句

3、官网下载最新补丁版本：http://www.opcmaster.com/

明日预告

无

原文始发于微信公众号（SCA御盾）：【漏洞复现】迅饶sunfull-soap-任意用户添加漏洞复现

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

本文由 admin 发表于 2024年5月17日17:36:25
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
迅饶sunfull-soap-任意用户添加漏洞复现https://cn-sec.com/archives/2750310.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

迅饶sunfull-soap-任意用户添加漏洞复现

Next.js中间件权限绕过漏洞 CVE-2025-29927

CrushFTP新安全漏洞：未授权访问和CVE-2025-31161

Langflow code接口存在远程代码执行漏洞CVE-2025-3248 附POC

nextjs中间件权限绕过漏洞（CVE-2025-29927）

Vite import存在任意文件读取漏洞CVE-2025-31125 附POC

CVE-2025-22457

elestio memos SSRF漏洞 (CVE-2025-22952)

Zyxel-NBG2105-身份验证绕过（CVE-2021-3297）

Zyxel-NBG2105-身份验证绕过-CVE-2021-3297

H3C多系列路由器存在任意用户登录漏洞 POC

发表评论

在线咨询

微信