0x01 产品简介
索贝融媒体产品是成都索贝数码科技股份有限公司(简称索贝)为各级电视台和媒体机构打造的一套集互联网和电视融合生产的解决方案。其代表产品为MCH2.0融合媒体生产业务系统,该系统带来了媒体领域一种全新的融合生产流程和工作机制,具有全方位的资源汇聚能力、共平台的协同生产能力和多发布能力,实现多形态的新闻和产品以跨屏和多终端的方式展现在受众面前,使得媒体生产随时随地、轻松高效,媒体传播效果卓越、彰显价值。
0x02 漏洞概述
索贝融媒体 Sc-TaskMonitoring/rest/task/search 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 此漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
0x03 复现环境
FOFA:icon_hash="689611853"
0x04 漏洞复现
PoC
POST /Sc-TaskMonitoring/rest/task/search HTTP/1.1
Host:
User-Agent
![[大数据]Trino](https://csdnimg.cn/release/blog_editor_html/release2.3.7/ckeditor/plugins/CsdnLink/icons/icon-default.png?t=O83A){kind=icon}
