瑞友天翼应用虚拟化系统存在SQL注入漏洞的解析 一、确认瑞友天翼应用虚拟化系统的版本和具体环境 瑞友天翼应用虚拟化系统是由西安瑞友信息技术资讯有限公司研发的基于服务器计算架构的应用虚拟化平台。由于系统版本的多样性和更新迭代,不同版本的系统可能存在不同的安全漏洞。因此,在讨论SQL注入漏洞时,首先需要明确具体的系...
最近网上公开了一些瑞友天翼应用虚拟化系统的 SQL注入漏洞,经过挖掘发现,还存在一些后台 SQL 注入漏洞。 重点关注传入参数可控并且拼接到 SQL 语句中的代码。 getappicon 首先检测了登录状态,然后将通过 GET 获取到的参数 id 直接拼接到 SQL 语句中。 GET /hmrao.php?s=/Admin/getappicon/&id=1');...
瑞友天翼应用虚拟化系统AgentBoard.XGI远程代码执行漏洞漏洞名称:瑞友天翼应用虚拟化系统AgentBoard.XGI远程代码执行漏洞 影响版本:瑞友天翼应用虚拟化系统 FOFA查询语法:body="/CasMain.XGI"漏洞描述:瑞友天翼应用虚拟化系统的AgentBoard.XGI模块存在远程代码执行漏洞。攻击者可以利用该漏洞,通过精心构造的请求,执行任意...
近日,新华三盾山实验室监测到互联网上公开了瑞友天翼应用虚拟化系统中的远程代码执行漏洞相关信息,且漏洞利用代码已公开,攻击者利用该漏洞可在目标服务器上执行任意代码。 1.2漏洞详情 该漏洞是由于瑞友天翼应用虚拟化系统未对用户传入的数据进行过滤,导致存在SQL 注入漏洞,未经身份验证的恶意攻击者成功利用此漏洞可获取数...
一、漏洞概述 近日,绿盟科技CERT监测发现网上公开了一个瑞友天翼应用虚拟化系统远程代码执行漏洞。未经身份验证的远程攻击者可通过该漏洞在目标系统上任意执行代码,最终可实现对目标系统的控制,请受影响的用户尽快采取措施进行防护。 瑞友天翼应用虚拟化系统(GWT System)是国内具有自主知识产权的应用虚拟化平台,是基于服务...
1.瑞友天翼应用虚拟化系统远程代码执行漏洞 影响组件:瑞友天翼应用虚拟化系统是国内具有自主知识产权的应用虚拟化平台,是基于服务器计算的应用虚拟化平台。它将用户所有应用软件集中部署在天翼服务器上,客户端通过Web即可快速安全地访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便...
近日,亚信安全CERT监测到瑞友天翼应用虚拟化系统存在一个远程代码执行漏洞。未经身份验证的远程攻击者可以利用此漏洞在目标机器上执行任意代码,导致攻击者攻击并控制目标机器。目前厂商已发布更新版本,建议受影响用户尽快更新至安全版本以减少漏洞所带来的风险。瑞友天翼应用虚拟化系统是由西安瑞友信息技术资讯有限公司自主...
总结起来就是这样的 在 5.x <= 瑞友天翼应用虚拟化系统(GWT System) <= 7.0.2 之前存在 SQL 注入漏洞,为了避免再次出现SQL 注入,通过开启 magic_quotes_gpc ,即使在代码层面存在缺陷导致 SQL 注入,但是添加了一层转义防护,也是很安全的。在版本不断升级的过程中,php 的版本也潜移默化的进行升级,导致 magic...
近日,亚信安全CERT监测到瑞友天翼应用虚拟化系统存在一个远程代码执行漏洞。未经身份验证的远程攻击者可以利用此漏洞在目标机器上执行任意代码,导致攻击者攻击并控制目标机器。目前厂商已发布更新版本,建议受影响用户尽快更新至安全版本以减少漏洞所带来的风险。瑞友天翼
瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算(Server-based Computing)架构的应用虚拟化平台。瑞友天翼应用虚拟化系统存在SQL注入漏洞,攻击者可以利用此漏洞获得数据库和WEB主机权限。 CVE编号: CNNVD编号: CNVD编号: ...