漏洞关键信息 供应商: IP-COM 产品: M50 版本: V15.11.0.33(10768) 类型: 远程命令注入 作者: Yifeng Li, Wolin Zhuang 漏洞描述 在 函数中,参数 , 和 未对用户传入的字符串进行过滤,导致可以控制 、 或 参数来执行任意命令。 远程命令注入漏洞 通过构造特定的 GET 请求,可以控制 、 或 参数,注入任意命令,例如 来利用漏洞。 代码示例 PoC 可以通过设置 , 或 参数为任意值,触发命令执行。例如: 此URL将执行 ping 命令。