ToB企服应用市场:ToB评测及商务社交产业平台

标题: 索贝融媒体 Sc-TaskMonitoring/rest/task/search SQL注入漏洞复现 [打印本页]

作者: 曹旭辉 时间: 2024-11-26 12:05
标题: 索贝融媒体 Sc-TaskMonitoring/rest/task/search SQL注入漏洞复现
0x01 产物简介

索贝融媒体产物是成都索贝数码科技股份有限公司（简称索贝）为各级电视台和媒体机构打造的一套集互联网和电视融合生产的办理方案。其代表产物为MCH2.0融合媒体生产业务系统，该系统带来了媒体领域一种全新的融合生产流程和工作机制，具有全方位的资源汇聚能力、共平台的协同生产能力和多发布能力，实现多形态的新闻和产物以跨屏和多终端的方式展现在受众面前，使得媒体生产随时随地、轻松高效，媒体流传效果卓越、彰显价值。
0x02 漏洞概述

索贝融媒体 Sc-TaskMonitoring/rest/task/search 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用此漏洞获取数据库中的信息（比方，管理员背景密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。
0x03 复现环境

FOFA：icon_hash="689611853"

0x04 漏洞复现

PoC

POST /Sc-TaskMonitoring/rest/task/search HTTP/1.1
Host:
User-Agent

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)