漏洞描述 CHANGING IDExpert是中国CHANGING公司的一个基于零信任,集成 FIDO、生物识别、MFA 等各种机制的身份验证系统。 CHANGING IDExpert 2.6.1至2.8.1.240620版本存在操作系统命令注入漏洞,该漏洞源于不正确地验证管理员界面中的特定参数,允许具有管理员权限的远程攻击者在服务器上注入和执行操作系统命令。