通天星CMSV6 车载定位监控平台 任意文件上传漏洞复现(XVE-2023-23454)

已于 2024-03-31 22:45:03 修改
阅读量555 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2024-03-31 22:44:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/137211240
版权

0x01 产品简介

通天星CMSV6车载定位监控平台拥有以位置服务、无线3G/4G视频传输、云存储服务为核心的研发团队,专注于为定位、无线视频终端产品提供平台服务,通天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。

0x02 漏洞概述

通天星CMSV6 车载定位监控平台upload接口处存在文件上传漏洞,攻击者可通过该漏洞直接上传一个 webshell 到服务器上,获取服务器权限,进⽽控制整个 web 服务器。

0x03 影响范围

version < 7.33.0.2_20240305

0x04 复现环境

FOFA:body="808gps"

了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
天星CMSV6车载视频监控平台 getImage 任意文件读取漏洞复现
0xSec
02-26 1160
天星CMSV6车载视频监控平台StandardReportMediaAction_getImage.action接口处任意文件读取漏洞,未经身份认证的攻击者可以过此漏洞获取系统内部敏感文件信息,使系统处于极不安全状态。
天星CMSV6车载视频监控平台 SQL注入漏洞复现
0xSec
01-06 1216
天星CMSV6车载视频监控平台StandardApiAction_vehicleTTS.action接口处存在SQL注入漏洞,未经身份认证的攻击者可以过此漏洞获取数据库敏感信息,深入利用可获取服务器权限。
鸿运(天星CMSV6车载)主动安全监控平台inspect_file/upload存在任意文件上传漏洞
wan___she__pi的博客
04-04 782
鸿运(天星CMSV6车载)主动安全监控平台实现对计算资源、存储资源、网络资源、云应用服务进行7*24小时全时区、多地域、全方位、立体式、智能化的IT运维监控,保障IT系统安全、稳定、可靠运行。
天星CMSV6车载视频监控平台存在文件上传漏洞,2024年“金三银四”来袭
uftdv17136的博客
04-14 894
天星CMSV6车载视频监控平台是东莞市天星软件科技有限公司研发的监控平台天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交视频监控,还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。天星CMSV6车载视频监控平台存在文件上传漏洞
漏洞复现天星CMSV6车载视频监控平台存在文件上传漏洞
https://blog.echo234.cn/
03-27 1343
天星CMSV6车载视频监控平台是东莞市天星软件科技有限公司研发的监控平台天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交视频监控,还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。天星CMSV6车载视频监控平台存在文件上传漏洞
鸿运(天星CMSV6车载)主动安全监控平台敏感信息泄露漏洞
做自己喜欢的事,并将其发挥到极致!
02-28 922
鸿运主动安全监控平台实现对计算资源、存储资源、网络资源、云应用服务进行7*24小时全时区、多地域、全方位、立体式、智能化的IT运维监控,保障IT系统安全、稳定、可靠运行。鸿运(天星CMSV6车载)主动安全监控平台存在敏感信息泄露漏洞
齐博CMS V7任意文件下载漏洞
09-07
# 齐博CMS V7任意文件下载漏洞 ## 漏洞影响 ``` 齐博cms V7 ``` ## FOFA ``` app="齐博cms" ``` ## Poc 综合验证和利用脚本见 Qibo_v7.py
74CMS_4.2.3_任意文件读取_CNVD-2017-26183
02-22
本文为 漏洞编号CNVD-2017-26183 ,即 74CMS 任意文件读取漏洞利用工具源码内容 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 更多...
74cms v4.2.X任意文件读取漏洞
09-06
**74cms v4.2.X任意文件读取漏洞详解** 在网络安全领域,74cms v4.2.X任意文件读取漏洞是一个重要的安全问题,影响了74cms的多个版本,包括v4.2、v4.2.3以及v5.0.1。这个漏洞允许攻击者过特定的手段读取服务器上...
DiY-Page论坛CMS v6.5 build 091029.zip
06-18
安装DiY-Page论坛CMS v6.5 build 091029相对简单,只需按照官方提供的安装指南,准备合适的服务器环境,然后上传解压后的文件到服务器,Web方式进行安装配置。对于后续版本的升级,系统常会提供升级工具,帮助...
S-CMS建站平台-学校建站系统 v3.0 bulid20180621
10-11
《S-CMS建站平台-学校建站系统 v3.0 bulid20180621》是一款专门针对学校网站建设的系统,它采用了先进的技术框架,旨在为教育机构提供一套高效、实用且易用的网站解决方案。下面将详细阐述这款建站系统的特性和功能...
漏洞复现天星CMSV6车载监控平台任意文件下载漏洞
晚风不及你
01-05 711
深圳市天星科技有限公司,是一家以从事计算机、信和其他电子设备制造业为主的企业。天星车载视频监控平台软件拥有多种语言版本。应用于公交车车载视频监控、校车车载视频监控、大巴车车载视频监控、物流车载监控、油品运输车载监控、警车车载视频监控等公共交上。
漏洞复现天星CMSV6车载监控平台FTP匿名访问
晚风不及你
01-05 659
深圳市天星科技有限公司,是一家以从事计算机、信和其他电子设备制造业为主的企业。天星车载视频监控平台软件拥有多种语言版本。应用于公交车车载视频监控、校车车载视频监控、大巴车车载视频监控、物流车载监控、油品运输车载监控、警车车载视频监控等公共交上。
漏洞复现天星CMSV6车载监控平台Login弱口令漏洞
晚风不及你
04-25 62
天星CMSV6车载视频监控平台存在弱口令漏洞,导致攻击者过此漏洞登录系统获取敏感信息。
漏洞复现天星-CMSV6-inspect_file-upload-文件上传
知黑而守白
03-27 247
天星CMSV6车载视频监控平台是东莞市天星软件科技有限公司研发的监控平台天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交视频监控,还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。天星CMS系统 upload 接口存在一个任意文件上传漏洞,该漏洞使得攻击者可以在受影响的系统上上传恶意文件,潜在风险包括远程执行恶意代码、访问敏感数据,以及其他危险操作。
天星CMSV6 车载视频监控平台 信息泄露漏
qq_69775412的博客
04-23 375
天星CMSV6车载视频监控平台 StandardLoginAction getAlser.acion接口处存在信息泄露漏洞
VPS拨号服务器:独享的高效与安全
qq_34245974的博客
07-06 620
本文将深入探讨VPS拨号服务器的独享特性,以及它如何提供更高效的服务和更强的安全保障。总之,VPS拨号服务器的独享特性为用户提供了一个高效、安全且灵活的网络环境,特别适合那些对服务器性能和安全性有高要求的业务需求。随着技术的不断进步,我们有理由相信,VPS拨号服务器将在未来的互联网架构中扮演越来越重要的角色。VPS拨号服务器是一种特殊的服务器,它结合了传统的VPS功能与动态IP地址分配能力。数据隔离:独享服务器保证了数据的隔离性,降低了数据泄露的风险。自定义安全策略:可以根据业务需求实施定制化的安全措施。
绝区肆--2024 年AI安全状况
最新发布
RamendeusStudio的博客
07-07 726
随着人工智能系统变得越来越强大和普及,与之相关的安全问题也越来越多。让我们来看看 2024 年人工智能安全的现状——评估威胁、分析漏洞、审查有前景的防御策略,并推测这一关键领域的未来可能如何。
wordpress任意文件上传(cve-2019-15866)
09-04
WordPress是一种广泛使用的内容管理系统(CMS),用于创建和管理网站。然而,在2019年的漏洞披露中发现了一个名为CVE-2019-15866的重要漏洞,该漏洞使得攻击者可以进行任意文件上传。 该漏洞的利用方式是过特制的恶意请求,将恶意文件上传到WordPress网站的服务器上。攻击者可以上传包含恶意代码的文件,例如Web外壳或后门程序,以获取对网站的完全控制权。一旦攻击者获得对网站的控制,他们可以执行后续的恶意活动,例如操纵网站内容、传播恶意软件或窃取敏感信息。 为了防止CVE-2019-15866漏洞的利用,用户应该尽快升级他们的WordPress网站到最新版本。WordPress开发团队常会在发现漏洞时发布安全更新,其中包括修复漏洞和加强系统安全性的补丁。使用最新版本的WordPress是最有效的预防措施之一。 此外,用户还可以采取其他安全措施来保护他们的WordPress网站。以下是一些建议: 1. 安装并更新信任的安全插件: 安装安全插件,如Wordfence或iThemes Security,并确保将其保持最新。这些插件可以帮助检测和预防恶意文件上传安全问题。 2. 设定强密码和安全验证: 使用强密码,包括字母、数字和特殊字符的组合,并启用二次验证功能(如果提供)以增加访问控制。 3. 限制文件上传:限制上传文件的类型和大小,仅允许所需的文件类型,并限制文件大小以防止攻击者上传恶意文件。 4. 定期备份网站文件和数据库:定期备份网站文件和数据库,以防止数据丢失,并确保在发生安全事件时能够进行恢复。 总结而言,CVE-2019-15866漏洞是一个严重的安全威胁,可以使攻击者上传任意文件到WordPress网站。用户应及时升级他们的WordPress版本,并采取额外的安全措施以保护他们的网站免受此漏洞的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值