H3C iMC智能管理中心 远程代码实行漏洞复现(XVE-2024-4567) ...

0x01 产品简介

H3C iMC智能管理中心是一款基于B/S架构推出的综合网络管理产品。IMC以网络管理为核心，特殊强调网络中的各种资源、用户和网络服务。其目的是为网络管理员提供一种集成资源、用户和网络服务的网络管理办理方案，实现对网络的端到端管理。它融合了当前多个产品，以同一风格提供与网络相干的各类管理、控制、监控等功能；同时以开放的组件化的架构原型，向平台及其承载业务提供分布式、分级式交互管理特性；并未业务软件的下一代产品提供最可靠的、可扩展、高性能的业务平台。
0x02 漏洞概述

H3C iMC智能管理中心 /byod/index.xhtml、/selfservice/login.jsf、/rpt/reportpage/loginrpt.jsf等多个接口处存在远程代码实行漏洞，未经身份攻击者可通过该漏洞在服务器端任意实行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。该漏洞利用难度较低，建议受影响的用户尽快修复。
0x03 影响范围

version < E0632H07
0x04 复现环境

FOFA：

1. (title="用户自助服务" && body="/selfservice/javax.faces.resource/") || body="/selfservice/index.xhtml"

复制代码

0x05 漏洞复现

PoC-1

1. POST /byod/index.x

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告