UTT520CVE 漏洞关键信息 Information 受影响厂商: UTT 受影响产品: HiPER 520 受影响的固件版本: nv520v3v1.7.7-160105 Vulnerability Details 漏洞类型: 命令注入 (CWE-77) 技术根本原因: 函数从请求中直接获取变量 并将其格式化为系统命令字符串,然后直接执行,没有进行任何过滤和验证。 Reproduction Steps 使用telnet连接到设备的 shell(示例:telnet 192.168.1.1 60023,用户名和密码:admin/admin)。 构造数据包,利用POST请求向 发送数据。 数据包中包含 参数,该参数被用于构造命令执行。 成功注入命令,生成文件 ,证明命令注入成功。 POC 总结 该漏洞允许攻击者通过构造特定的数据包执行任意命令,可能造成系统被控制、数据泄露等严重后果。