山石网科 漏洞列表

山石网科安全管理平台HSM（Hillstone Security Management），是基于意图的场景化解决方案综合安全运维管理平台，围绕山石网科安全产品，为企业用户提供安全设备运维、安全SD-WAN组网、WAF设备管理、等保设备管理、 ADC应用交付系统运维、零信任网关管理、安全策略分析、特征库服务器等多种安全场景方案的综合运维管理能力。该系统 9093端口  /ft//stoneos/monitor  接口存在文件上传漏洞，由于系统未能对用户上传的文件类型和路径进行严格的校验，攻击者可以利用该缺陷，构造恶意的上传请求，将任意文件（如Webshell脚本）上传至服务器的指定目录（WebDaemon/errors）。

山石网科安全管理平台HSM monitor存在文件上传漏洞，攻击者可以通过该漏洞上传恶意文件执行恶意命令，进而控制整个服务器。

山石网科云鉴主机安全管理系统，围绕主机检测、响应、预防可持续安全运营，实现主机安全全生命周期管理。通过对主机进行脆弱性检测、东西向微隔离管控、多错点风险检测、多层级安全响应等措施，解决主机资产管理、安全加固、东西向流量防护、威胁实时检测、应急响应、失陷主机定位等安全问题，能够有效帮助安全管理人员应对日趋严峻的主机风险态。

山石网科云鉴主机安全管理系统是山石网科旗下一款围绕主机检测、响应、预防的管理系统。山石网科云鉴主机安全管理系统 getMessageSettingAction.php 存在命令执行漏洞。攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个web服务器。

山石网科云鉴setSystemTimeAction.php存在前台任意命令执行漏洞。

山石网科云鉴getMessageSettingAction.php存在前台任意命令执行漏洞。

山石网科云鉴安全管理系统是一款综合性的安全管理系统，具有综合性、智能化、可定制性和可视化等特点。山石网科云鉴安全管理系统getMessageSettingAction接口处存在RCE漏洞,恶意攻击者可能利用此漏洞执行恶意命令，获取服务器敏感信息，最终可能导致服务器失陷。

/

山石网科云数据库审计与防护系统 getScanResult 存在SQL注入漏洞。

【漏洞对象】山石网科流量管理系统 【漏洞描述】山石网科流量管理系统弱口令，可以导致黑客顺利进入后台管理系统，可查看流量监控状况，修改系统配置，修改系统安全策略，修改或删除系统日志，导致网站或者服务器沦陷。