一、 漏洞 CVE-2016-15048 基础信息
漏洞信息
                                        # AMTT HiBOS server_ping.php 命令注入漏洞

## 概述

AMTT Hotel Broadband Operation System(HiBOS)存在一个未认证的命令注入漏洞,位于 `/manager/radius/server_ping.php` 接口。

## 影响版本

所有未修补版本的 HiBOS,具体版本号未明确指出。该产品可能已被以其他名称重新贴牌。

## 细节

漏洞源于应用程序在构造并执行一个 shell 命令时,未对用户提供的 `ip` 参数进行充分验证或转义。攻击者可通过在 `ip` 参数中插入 shell 元字符,实现任意系统命令的注入和执行,且是以 web 服务器用户身份运行。

## 影响

攻击者可利用该漏洞在目标系统上远程执行任意命令,进而可能导致系统被完全控制。  
此漏洞最早在2016年由第三方披露,并建议联系供应商获取修复指导。  
VulnCheck 已于 **2025-10-14 04:45:53.510819 UTC** 观测到该漏洞在野外被实际利用。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
AMTT HiBOS Command Injection RCE via server_ping.php
来源:美国国家漏洞数据库 NVD
漏洞描述信息
AMTT Hotel Broadband Operation System (HiBOS) contains an unauthenticated command injection vulnerability in the /manager/radius/server_ping.php endpoint. The application constructs a shell command that includes the user-supplied ip parameter and executes it without proper validation or escaping. An attacker can insert shell metacharacters into the ip parameter to inject and execute arbitrary system commands as the web server user. The initial third-party disclosure in 2016 recommended contacting the vendor for remediation guidance. Additionally, this product may have been rebranded under a different name. VulnCheck has observed this vulnerability being exploited in the wild as of 2025-10-14 at 04:45:53.510819 UTC.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
AMTT Hotel Broadband Operation System 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
AMTT Hotel Broadband Operation System是中国安美世纪(AMTT)公司的一个酒店宽带运营系统。 AMTT Hotel Broadband Operation System存在安全漏洞,该漏洞源于/manager/radius/server_ping.php端点未经验证命令注入,可能导致执行任意系统命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2016-15048 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2016-15048 的情报信息
四、漏洞 CVE-2016-15048 的评论

暂无评论

发表评论