漏洞标题
N/A
漏洞描述信息
## 漏洞概述
Xangati XSR 版本低于 11 和 XNR 版本低于 7 中存在远程代码执行漏洞。攻击者可以通过在 `servlet/Installer` 接口中的 `params` 参数中插入 shell 元字符来执行任意命令。
## 影响版本
- Xangati XSR: 早于 11 的所有版本
- Xangati XNR: 早于 7 的所有版本
## 细节
攻击者可以通过向 `servlet/Installer` 接口的 `params` 参数中插入 shell 语言的特殊字符(例如 `;`, `|`)来执行任意命令。这些特殊字符可以在目标服务器上执行额外的命令或操作。
## 影响
该漏洞允许远程攻击者绕过常规的输入限制,执行任意命令。这可能导致服务器被完全控制,数据泄露,服务中断等一系列安全问题。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Xangati XSR before 11 and XNR before 7 allows remote attackers to execute arbitrary commands via shell metacharacters in a gui_input_test.pl params parameter to servlet/Installer.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Xangati XSR和XNR 操作系统命令注入漏洞
漏洞描述信息
Xangati XSR和XNR都是美国Xangati公司的虚拟化工作负载性能管理软件。该软件通过仪表盘的健康指数、警报和DVR录像来显示虚拟化工作负载。 Xangati XSR 11之前的版本和XNR 7之前的版本中存在操作系统命令注入漏洞,该漏洞源于servlet/Installer页面没有充分过滤‘gui_input_test.pl&params’参数。远程攻击者可借助shell元字符利用该漏洞执行任意命令。
CVSS信息
N/A
漏洞类别
授权问题