CVE-2019-16662
漏洞描述:rConfig是一款开源的网络设备配置管理实用工具,在rConfig的帮助下,网络工程师可以快速、频繁地管理网络设备的快照。在近期的一次研究过程中,我在rConfig的两个代码文件中分别找到了两个远程代码执行漏洞。第一个文件为ajaxServerSettingsChk.php,其中的rootUname参数在源文件的第2行中定义,随后会在第13行传递给exec函数,而攻击者可以通过rootUname参数发送特制的GET请求,并以此来触发未授权的远程代码执行。攻击者只需要将恶意命令注入到这个参数中,并在目标服务
影响版本:rConfig ≤3.9.2
POC:install/lib/ajaxHandlers/ajaxServerSettingsChk.php?rootUname=; payload #
; payload # 需要url编码
参考资料:https://cloud.tencent.com/developer/article/1587385
攻击复现:
© 版权声明
部分文章采集于互联网,若侵权请联系删除!
THE END
cesfe 22天前0
好的,谢谢昶之琴 24天前0
这个安装地址失效了,我在网上找了一个:https://xiazai.zol.com.cn/detail/35/344340.shtml 如果还是不行的话就需要您自己去网上找找了cesfe 25天前0
帆软部署 ,访问的地址访问不到昶之琴 2年前0
我以为只要提交就行了好想告诉你 2年前0
花巨资看一下