关键漏洞信息 漏洞标题 Apps industrial OT over Server: Anti-Web 3.x.x < 3.8.x vuln: Remote Command Execution (CVE-2017-17888) 漏洞ID SSVID: 86555 CVE-ID: CVE-2017-17888 漏洞详情 漏洞类型: 命令执行 组件: Anti-Web Httpd 作者: Fernandez Ezequiel (@capitan_alfa), Bertin Jose (@bertinjoseb) CVSS评分: 中等 发布时间: 2017-05-15 提交时间: 2017-09-20 漏洞描述 漏洞类型: 远程命令执行 (RCE) 攻击向量 (AV): 远程 攻击复杂度 (AC): 低 机密性影响 (C): 高 受影响产品及供应商 NetBiter: - 产品: HMS - 版本: 3.x.x < 3.8.x - 核心版本: 2.6.12-uc0-AB200-9 Ouman: - 产品: EH-net - 版本: 3.25.14 - 核心版本: 2.6.12-uc0-NB100-9 其他供应商: 包括Sauter, Carlo Gavazzi, SMART-1等 漏洞重现步骤 发送特定HTTP请求至 以执行远程命令。 PoC/Concept验证代码 提供Python脚本实现远程命令执行。 在野外的情况 使用Shodan及「Servers anti-web」等工具搜索受影响的服务器实例。