漏洞描述
openBI是openBI公司提供的一款大数据可视化解决方案,旨在帮助用户实现数据的高效分析与展示。openBI 1.0.8及之前版本存在操作系统命令注入漏洞,该漏洞源于/application/websocket/controller/Setting.php文件的dlfile功能未能正确过滤构造命令特殊字符和命令,攻击者可利用该漏洞执行任意系统命令,导致系统被完全控制。
openBI /websocket/Setting/set 命令执行漏洞 (CVE-2024-1115)
PoC代码
暂无