0x01 产品简介
H3C iMC智能管理中心是一款基于B/S架构推出的综合网络管理产品。IMC以网络管理为核心,特殊强调网络中的各种资源、用户和网络服务。其目的是为网络管理员提供一种集成资源、用户和网络服务的网络管理办理方案,实现对网络的端到端管理。它融合了当前多个产品,以同一风格提供与网络相干的各类管理、控制、监控等功能;同时以开放的组件化的架构原型,向平台及其承载业务提供分布式、分级式交互管理特性;并未业务软件的下一代产品提供最可靠的、可扩展、高性能的业务平台。
0x02 漏洞概述
H3C iMC智能管理中心 /byod/index.xhtml、/selfservice/login.jsf、/rpt/reportpage/loginrpt.jsf等多个接口处存在远程代码实行漏洞,未经身份攻击者可通过该漏洞在服务器端任意实行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。该漏洞利用难度较低,建议受影响的用户尽快修复。
0x03 影响范围
version < E0632H07
0x04 复现环境
FOFA:
- (title="用户自助服务" && body="/selfservice/javax.faces.resource/") || body="/selfservice/index.xhtml"
0x05 漏洞复现
PoC-1
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
