漏洞描述
ICTBroadcast 应用在 7.4 及以下版本中,其会话处理机制存在命令注入漏洞。应用在处理会话 Cookie 数据时,未对内容进行安全校验,直接将其传递至系统 Shell 进行处理,攻击者可通过构造恶意会话 Cookie 注入系统命令并在服务器上执行,从而实现未授权的远程代码执行。
ICTBroadcast /login.php 命令执行漏洞(CVE-2025-2611)
PoC代码
暂无相关漏洞推荐
- 天锐绿盾审批系统 /trwfe/login.jsp/.%2e/rest/ext/mergeQuery 命令执行漏洞
- Maltrail /login 代码执行漏洞(CVE-2025-34073)
- 天锐绿盾审批系统 /trwfe/login.jsp/.%2e/rest/ext/mail/update/1 命令执行漏洞
- Yealink T53 Phone /api/auth/login 默认口令漏洞
- 天锐绿盾审批系统 trwfe/login.jsp/.%2e/user/findUserPageExcludeCurrentUser.do SQL 注入漏洞
- POC 网神SecFox运维安全管理与审计系统 /3.0/authService/login 命令执行漏洞
- 天锐绿盾审批系统 /trwfe/login.jsp/.%2e/menu/findModulePage.do SQL 注入漏洞
- motionEye /login/ 默认口令漏洞
- Dataiku DSS /dip/api/login 默认口令漏洞
- lsfusion /login_check 默认口令漏洞
- 天锐绿盾审批系统 /trwfe/login.jsp/.%2e/invoker/findCategoryPage.do SQL 注入漏洞
- Kuboard /api/login 默认口令漏洞
- 天锐绿盾审批系统 /trwfe/login.jsp/.%2e/file/addUpFile.do 文件上传漏洞