山石网科WAF 命令注入漏洞(QVD-2024-37670)

# 山石网科WAF 命令注入漏洞(QVD-2024-37670)

- CVE编号: 暂无
- 危害定级: 严重
- 漏洞标签: 重保2024 POC公开 关键漏洞
- 披露日期: 2024-08-22
- 推送原因: 标签更新: 重保2024 关键漏洞 => 重保2024 POC公开 关键漏洞
- 信息来源: https://ti.qianxin.com/vulnerability/detail/370995

### 漏洞描述
山石网科 Web 应用防火墙（WAF）是专业智能的Web 应用安全防护产品，在Web资产发现、漏洞评估、流量学习、威胁定位等方面全面应用智能分析和语义分析技术，帮助用户轻松应对应用层风险，确保网站全天候的安全运营。
在WAF的验证码页面，存在命令注入漏洞，恶意攻击者可通过构造恶意请求，拼接命令执行任意代码，控制服务器。

Qianxin
奇安信威胁情报中心

奇安信ALPHA威胁分析平台是面向安全分析师、事件响应人员的综合性威胁情报分析平台，以海量多维度网络空间安全数据为基础，实现报警研判、攻击定性等功能，威胁研判分析平台是构建新型安全架构的核心组件之一。