Goby 漏洞发布|高危!山石网科 Web 应用防火墙(WAF)/captcha 命令执行漏洞【已复现】
漏洞名称:山石网科 Web 应用防火墙(WAF)/captcha 命令执行漏洞
English Name:Hillstone WAF /captcha Command Execution Vulnerability
CVSS core: 7.5
漏洞描述:
山石网科 Web 应用防火墙(WAF)是专业智能的Web 应用安全防护产品,在Web资产发现、漏洞评估、流量学习、威胁定位等方面全面应用智能分析和语义分析技术,帮助用户轻松应对应用层风险,确保网站全天候的安全运营。
在WAF的验证码页面,存在命令注入漏洞,恶意攻击者可通过构造恶意请求,拼接命令执行任意代码,控制服务器。
FOFA自检语句:
((title="Hillstone" && title="Hillstone Networks" && body="Hillstone") || (title="Web Management" && body="images/login_BG.gif" && body="'Hillstone Networks', 'hillstone-logo.gif'"))
受影响资产数量: 32,724
受影响版本:
5.5R6-2.6.7~5.5R6-2.8.13
解决方案:
1、通过防火墙等安全设备设置访问策略,设置白名单访问。
2、如非必要,禁止公网访问该系统。
漏洞检测工具:
【Goby】-资产绘测及实战化漏洞扫描工具,实战漏洞验证效果如图所示:
自检执行结果示例:
了解Goby
Goby预置了最具实战化效果的漏洞引擎,覆盖Weblogic,Tomcat等最严重漏洞。Goby也提供了可以自定义的漏洞检查框架,发动了互联网的大量安全从业者贡献POC,保证持续的应急响应能力,目前已收录1900+POC。
浙公网安备 33010602011771号