一、 漏洞 CVE-2021-47816 基础信息
漏洞信息
# Thecus N4800Eco 命令注入漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Thecus N4800Eco Nas Server Control Panel - Command Injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Thecus N4800Eco NAS Server Control Panel contains a command injection vulnerability that allows authenticated attackers to execute arbitrary system commands through user management endpoints. Attackers can inject commands via username and batch user creation parameters to execute shell commands with administrative privileges.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2021-47816 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2021-47816 的情报信息
标题: Thecus N4800Eco Nas Server Control Panel - Comand Injection - Hardware webapps Exploit -- 🔗来源链接
标签:exploit
神龙速读:根据提供的网页截图,以下是关于该漏洞的关键信息: - **漏洞名称**: Thecus N4800Eco Nas Server Control Panel - Command Injection - **EDB-ID**: 49926 - **CVE**: N/A - **作者**: Metin Yunus Kandemir - **类型**: WEBAPPS - **平台**: HARDWARE - **发布日期**: 2021-06-02 - **易受攻击的应用**: Thecus N4800Eco - **漏洞验证**: EDB Verfied: Fails - **描述**: 漏洞描述链接为 `https://docs.unsafe-inline.com/0day/thecus-n4800eco-nas-server-control-panel-comand-injection`,但链接无法访问。 - **代码示例**: 提供了Python脚本示例,用以展示如何利用该漏洞执行命令注入攻击,包括获取系统日志、删除用户、添加用户、用户登录等功能。代码中包含对`/adm/setmain.php`和`/adm/login.php`等URL的POST请求。 注意:如果没有遵循正确的网络安全措施,漏洞利用可能导致系统被攻击者控制,导致数据泄露或其他安全问题。对于此类漏洞,应及时更新系统和应用软件,并采用安全的网络配置和管理实践。
标题: Thecus N4800Eco Nas Server Control Panel Comand Injection | UI -- 🔗来源链接
标签:technical-descriptionexploit
神龙速读:### 漏洞关键信息 #### 漏洞名称 Thecus N4800Eco Nas Server Control Panel Command Injection #### 漏洞描述 - **命令注入漏洞**:允许攻击者在Thecus N4800Eco Nas Server控制面板中以root权限执行命令。 - **检测方式**:通过尝试使用`Batch Input`选项添加用户,绕过特殊字符限制,成功执行命令如`$(ifconfig)`。 - **命令执行成功验证**:在系统日志中发现执行了`ifconfig`等命令的证据。 #### 漏洞细节 - **受影响组件**:Thecus N4800Eco Nas Server的控制面板。 - **攻击方式**:通过POST请求,利用`Username`参数注入命令,如`$(ifconfig)`。 - **示例请求**: ```bash POST /adm/setmain.php?fun=setbatch HTTP/1.1 Host: target ... Content-Length: 42 ... batch_content=%24(ifconfig)%2C22222%2C9999 ``` - **Python脚本**:用于执行命令注入攻击的脚本示例,可用于自动化测试和攻击。 #### 作者 Metin Yunus Kandemir
标题: Thecus NAS: Empowering Professionals. Rackmount NAS, Tower NAS, SMB NAS, SOHO NAS -- 🔗来源链接
标签:product
神龙速读:**关键信息:** - **品牌与产品线:** - Thecus的Linux NAS存档页面。 - **产品分类:** - 分为多个类别,包括: - LARGE BUSINESS RACKMOUNT - LARGE BUSINESS TOWER - SMB RACKMOUNT - SMB TOWER - SOHO/HOME - Special Bundles - **档案目的:** - 显示不同类型的NAS设备图像,可能用于存档或展示过时产品。 - **缺乏关键安全信息:** - 页面本身并不直接提供漏洞详情,但显示的产品信息可能间接与特定型号NAS的安全性相关联。 - **业务提示:** - 从产品分类来看,Thecus针对不同规模的业务提供了多样化的NAS解决方案。这可能影响对特定型号NAS安全性评估的广泛性。 直接从截图本身无法获取具体漏洞细节,但可推断与Thecus Linux NAS设备有关的潜在安全考量点与产品线紧密相关,需进一步查阅相关型号的具体安全公告与更新记录。
标题: Thecus NAS: Empowering Professionals. Rackmount NAS, Tower NAS, SMB NAS, SOHO NAS -- 🔗来源链接
标签:product
神龙速读:从该网页截图中,可以获取到以下关于漏洞的关键信息: * **产品信息**: Thecus NAS产品支持新的Seagate IronWolf 125 SSDs和IronWolf Pro HDDs,容量可达18TB。这表明Thecus允许使用容量更大的存储设备,但也可能意味着其NAS产品在设计时需要考虑对大型存储设备的支持,如果处理不当,可能引发存储管理或兼容性相关的漏洞。 * **技术支持**: 网站底部的“Support”链接可能包含了重要的软件更新、安全建议和漏洞修复信息。访问该链接可能有助于了解是否有已知的漏洞以及对应的补丁。 * **发布时间**: 技术新闻发布的日期是2020-09-11。考虑到软件开发和安全实践的发展,较旧的内容可能没有包含最新的安全措施,可能会存在已知的漏洞。 然而,截图中并没有直接显示任何特定的安全漏洞或安全公告。要获取漏洞的具体信息,可能需要进一步访问网站的“Support”链接或查阅相关的安全公告和新闻更新。
标题: Thecus N4800Eco Nas Server Control Panel - Command Injection | Advisories | VulnCheck -- 🔗来源链接
标签:third-party-advisory
神龙速读:## Thecus N4800Eco NAS Server Control Panel - Command Injection - **Severity:** MEDIUM - **Date:** January 16, 2026 - **Affecting:** Thecus N4800Eco NAS Server Control Panel N4800Eco - **CVE ID:** CVE-2021-47816 - **CWE ID:** CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') - **CVSS Score:** AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N 3.7/10 - **References:** - ExploitDB-49926 - Thecus Official Vendor Homepage - Thecus N4800Eco Product Page - Researcher Blog - **Credit:** Metin Yunus Kandemir - **Description:** Thecus N4800Eco NAS Server Control Panel contains a command injection vulnerability that allows authenticated attackers to execute arbitrary system commands through user management endpoints. Attackers can inject commands via username and batch user creation parameters to execute shell commands with administrative privileges.
- https://nvd.nist.gov/vuln/detail/CVE-2021-47816
四、漏洞 CVE-2021-47816 的评论
暂无评论