支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-1192 基础信息
漏洞信息
                                        # Tosei Online Store  imode_alldata.php 命令注入漏洞

## 概述
Tosei在线商店管理系统(ネット店舗管理システム)1.01版本中存在命令注入漏洞,位于`/cgi-bin/imode_alldata.php`文件中一个未知函数。通过操纵参数`DevId`可触发漏洞,攻击者可远程执行任意命令。

## 影响版本
- Tosei Online Store Management System ネット店舗管理システム 1.01

## 细节
- 漏洞文件:`/cgi-bin/imode_alldata.php`
- 漏洞参数:`DevId`
- 漏洞类型:命令注入(Command Injection)
- 利用方式:远程操纵`DevId`参数注入并执行系统命令
- 漏洞函数:具体函数名未知
- 公开信息:漏洞已被公开披露,且存在可用的利用方式

## 影响
- 攻击者可远程执行任意系统命令,导致服务器完全失控
- 完整性、机密性和可用性均受到严重威胁
- 厂商已被告知但未回应,无修复补丁可用
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Tosei Online Store Management System ネット店舗管理システム imode_alldata.php command injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was determined in Tosei Online Store Management System ネット店舗管理システム 1.01. The affected element is an unknown function of the file /cgi-bin/imode_alldata.php. Executing a manipulation of the argument DevId can lead to command injection. The attack can be executed remotely. The exploit has been publicly disclosed and may be utilized. The vendor was contacted early about this disclosure but did not respond in any way.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
在命令中使用的特殊元素转义处理不恰当(命令注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-1192 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-1192 的情报信息

  • 标题: Tosei self-service washing machine has a vulnerability in remote command execution at the foreground -- 🔗来源链接

    标签:exploit

    神龙速读:
                                            ### 关键漏洞信息

#### 漏洞概述
- **漏洞类型**: 远程命令执行 (RCE)
- **受影响系统**: Tosei 自助洗衣机
- **生产厂家**: Tosei Company, Japan

#### FOFA 搜索条件
- `"Tosei" && title=="ログイン"`

#### POC (Proof of Concept)
- **HTTP 方法**: POST
- **目标 URL**: `/cgi-bin/imode_alldata.php`
- **目标 IP**: 220.157.170.37:8080

#### HTTP 请求头
- `Host: 220.157.170.37:8080`
- `User-Agent`: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36
- `Accept-Encoding`: gzip, deflate
- `Accept-Language`: zh-CN,zh;q=0.9
- `Upgrade-Insecure-Requests`: 1
- `Content-Type`: application/x-www-form-urlencoded
- `Content-Length`: 56

#### POST 参数
- `duput=ON&DevId=;pwd;&Port=1`

#### 漏洞重现
- 访问 URL: `http://220.157.170.37:8080/cgi-bin/login.php`
    Tosei self-service washing machine has a vulnerability in remote command execution at the foreground
  • https://vuldb.com/?ctiid.341777signaturepermissions-required

  • 标题: Submit #734205: Tosei Tosei Online Store Management System ネット店舗管理システム 1.01 Command Injection -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            ### 关键信息

- **漏洞标题**: Tosei Tosei Online Store Management System ネット店舗管理システム 1.01 Command Injection
- **描述**: 
  - Tosei Online Store Management System Self-service washing machine 的 `imode_alldata.php` 文件中存在远程命令执行漏洞。
  - 漏洞允许攻击者通过命令注入导致服务器被篡改。
- **来源用户**: Yiding (UID 90836)
- **提交时间**: 2026-01-08 07:55 AM (12 天前)
- **审查时间**: 2026-01-19 02:49 PM (11 天后)
- **状态**: 已接受 (Accepted)
- **VulDB 条目编号**: 341777
- **积分**: 19
    Submit #734205: Tosei Tosei Online Store Management System ネット店舗管理システム 1.01 Command Injection
  • https://vuldb.com/?id.341777vdb-entrytechnical-description
  • https://nvd.nist.gov/vuln/detail/CVE-2026-1192
四、漏洞 CVE-2026-1192 的评论

暂无评论

发表评论