通天星CMSv6 Japser反序列化漏洞分析 一、版本说明 根据通告得知漏洞在7.33.0.7_20240508及其以下有效。实测发现: 1、上传接口在7.33.0.7_20240508及其以下有效: 2、反序列化链条:最新版7.34.0.7_20240719版本仍然存在 二、漏洞分析 2.1 路由参数加密 2.1.1 参数加密过程和Bypass 通天星有的路由需要将参数进行加密后才能...
该漏洞是由于通天星CMSV6车载定位监控平台/run_stop/delete.do;downloadLogger.action接口处未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致SQL注入漏洞,获取服务器敏感数据信息。 漏洞危害 未授权的攻击者可通过此漏洞获取数据库权限,从而盗取用户数据,造成用户信息泄露。
通天星CMSV6车载视频监控平台存在一个SQL注入漏洞。攻击者可以通过在特定的GET请求中注入恶意SQL代码,利用该漏洞对数据库执行任意SQL操作。漏洞存在于/edu_security_officer/disable;downloadLogger.action接口,攻击者可以在ids参数中注入SQL语句,导致数据库执行时间延迟,从而确认SQL注入的成功。此漏洞可能导致数据库中的敏感...
通天星CMSV6车载视频监控平台是东莞市通天星软件科技有限公司研发的监控平台。 通天星CMSV6车载定位监控平台 downloadLogger.action?ids接口处存在SQL注入漏洞,恶意攻击者可能会利用该漏洞获取敏感信息,从而导致服务器失陷。 漏洞危害 恶意攻击者可能会利用该漏洞获取敏感信息,从而导致服务器失陷。
01 漏洞概况 通天星CMSV6 车载定位监控平台upload接口处存在文件上传漏洞,攻击者可通过该漏洞直接上传一个 webshell 到服务器上,获取服务器权限,进⽽控制整个 web 服务器。02 漏洞处置综合处置...查看全文 西安安迈 提到公司西安安迈信科科技有限公司 法定代表人:李嘉 | 注册资本:2000万人民币 | 成立日期:2020-04...
Create 鸿运(通天星CMSV6车载)主动安全监控云平台存在任意文件读取漏洞.md Browse files main wy876 authored Feb 28, 2024 Verified 1 parent 8e6d282 commit e62abef Showing 1 changed file with 17 additions and 0 deletions. Whitespace Ignore whitespace Split Unified 17 changes: 17 additions...
通天星CMSV6 SQL注入漏洞北京赛克艾威科技有限公司 2024-06-14 漏洞编号:暂无 漏洞等级:严重 漏洞标签:0day 发布时间:2024-06-14漏洞描述暂无修复建议暂无参考链接https://x.threatbook.com/v5/vulIntelligence致力于成为领先的数字化建设服务提供商 联系方式 邮箱:yanwei@secevery.com 电话:010-86460828 地址:北京市...
24 changes: 24 additions & 0 deletions24通天星-CMSV6-inspect_file-upload存在任意文件上传漏洞.md Original file line numberDiff line numberDiff line change @@ -0,0 +1,24 @@ ##通天星-CMSV6-inspect_file-upload存在任意文件上传漏洞 ##fofa ...
0x02产品介绍通天星CMSV6车载定位监控平台拥有以位置服务、无线3G/4G视频传输、云存储服务为核...查看全文 相关企业信息 公司名称:浙江通天星集团股份有限公司 法人代表:王群 注册资本:- 成立时间:1997-12-31 公司类型:股份有限公司(非上市、自然人投资或控股) 经营状态:存续 注册地址: 浙江省衢州市五一路27号1幢 ...
01 漏洞概况 通天星CMSV6 车载定位监控平台upload接口处存在文件上传漏洞,攻击者可通过该漏洞直接上传一个 webshell 到服务器上,获取服务器权限,进⽽控制整个 web 服务器。02 漏洞处置综合处置...查看全文 相关企业信息 公司名称:西安安迈信科科技有限公司 法人代表:李嘉 注册资本:243.68万人民币 成立时间:2020-04...