漏洞描述
AJ-Report是一个完全开源的BI平台,酷炫大屏展示,能随时随地掌控业务动态,让每个决策都有数据支撑。多数据源支持,内置mysql、elasticsearch、kudu等多种驱动,支持自定义数据集省去数据接口开发,支持17+种大屏组件,不会开发,照着设计稿也可以制作大屏。该平台可以通过post方式在validationRules参数对应值中进行命令执行,可以获得服务器权限,登陆管理后台接管大屏。
开源数据大屏 AJ-Report 产品 /dataSetParam/verification;swagger-ui/ 远程命令执行漏洞
PoC代码
暂无相关漏洞推荐
- 金和OA ProjectPlanReportDetail.aspx 存在SQL注入漏洞
- 友加畅捷管理系统 Report/DataHandler.ashx XML 外部实体注入漏洞
- POC 朗新sTalent api/Report/SaveNewReport 文件上传漏洞
- 金和OA ReportSetting.aspx SQL注入漏洞
- 金和OA ReportParaList.aspx SQL注入漏洞
- 新视窗新一代物业管理系统 /OfficeManagement/RegisterManager/Report/Training/Report/GetprintData.asmx SQL 注入漏洞
- 孚盟云CRM /m/Dingding/Ajax/AjaxCustomizeReport.ashx SQL 注入漏洞
- 友加畅捷管理系统 /ReportDesign/RepFile.ashx 文件读取漏洞
- 关于NC系统taskReport的sql注入漏洞的安全通告
- POC 孚盟云CRM ReportShow.aspx SQL 注入漏洞
- POC 孚盟云 ReportShow.aspx SQL注入漏洞
- 友数聚 CPAS审计管理系统 findArchiveReportByDah SQL注入漏洞
- POC 友数聚 findArchiveReportByDah 存在sql注入漏洞