VideoFlow DVP 10 认证后远程代码执行漏洞 (ZSL-2018-5455)

关键信息 标题: VideoFlow Digital Video Protection DVP 10 Authenticated Root Remote Code Execution Advisory ID: ZSL-2018-5455 类型: Local/Remote 影响: System Access 风险: 4/5 发布日期: 31.03.2018 摘要 (Summary) VideoFlow的DVP产品广泛用于提高IP网络中的可靠性，面对CSRF，远程攻击者可以利用此漏洞执行任意系统命令，以root权限获取系统访问权限。 影响版本 (Affected Version) 2.10 (X-Prototype-Version: 1.6.0.2) 系统: DVP Protecter Version: 1.40.0.15(R) May 5 2015 05:27:06 系统: DVP Fortress Version: 2.10.0.5(R) Jan 7 2018 测试环境 (Tested On) CentOS release 5.6 (Final) (2.6.18-238.12.1.e15) CentOS release 5.10 (Final) (2.6.18-371.e15) 厂商状态 (Vendor Status) 2018年2月1日: 漏洞被发现 2018年3月5日: 联系厂商 2018年3月31日: 公开安全建议发布 PoC (Proof of Concept) videoflow_root.txt 致谢 (Credits) 漏洞由Gjoko Krstic 发现 参考文献 (References) https://cxsecurity.com/issue/WLB-2018030269 https://www.exploit-db.com/exploits/44387/ https://packetstormsecurity.com/files/147002 https://exchange.xforce.ibmcloud.com/vulnerabilities/141101

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

VideoFlow DVP 10 认证后远程代码执行漏洞 (ZSL-2018-5455)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！