漏洞描述
山石网科安全管理平台HSM(Hillstone Security Management),是基于意图的场景化解决方案综合安全运维管理平台,围绕山石网科安全产品,为企业用户提供安全设备运维、安全SD-WAN组网、WAF设备管理、等保设备管理、 ADC应用交付系统运维、零信任网关管理、安全策略分析、特征库服务器等多种安全场景方案的综合运维管理能力。该系统 9093端口 /ft//stoneos/monitor 接口存在文件上传漏洞,由于系统未能对用户上传的文件类型和路径进行严格的校验,攻击者可以利用该缺陷,构造恶意的上传请求,将任意文件(如Webshell脚本)上传至服务器的指定目录(WebDaemon/errors)。