赛克安全本周漏洞推送（12.15-12.20）涉及Cloudlog、bmcm、汉明科技-无线控制器、迈普无线系统等产品相关漏洞

原创 马赛克安全实验室 马赛克安全实验室 2024-12-20 06:17

免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！马赛克安全实验室情报申明（可点击查看）

0x01漏洞插件描述
本周赛克安全更新漏洞插件16个，涉及安科瑞-智能环保云平台、Cloudlog、bmcm、汉明科技-无线控制器、迈普无线管理系统等产品相关漏洞

0x01漏洞描述
1、 安科瑞-智能环保云平台-getenterpriseinfoy-sql注入漏洞
– 插件更新时间： 2024-12-19 10:19:25

• 漏洞级别： 高危

• 漏洞描述：安科瑞环保用电监管云平台是一款基于云计算和大数据技术的智能能源管理系统，旨在帮助企业和公共机构实现电力监控、数据分析和用电优化。通过实时监测电力消耗、设备状态和能效数据，平台可以生成详细报告和预警，帮助用户提高能源使用效率、降低成本，并符合环保和能源管理的相关法规要求。该产品接口/GetEnterpriseInfoY文件存在SQL注入漏洞，攻击者通过漏洞可获取服务器权限。

• 漏洞危害：恶意攻击者可以利用该漏洞执行恶意的注入语句，获取敏感数据或篡改数据库。

• 产品指纹：

icon_hash="-1201212481"

---

2、Cloudlog电台日志系统-request-form-sql 注入漏洞
– 插件更新时间：2024-12-16 09:32:16

• 漏洞级别：高危

• 漏洞描述：Cloudlog 是一个自托管的 PHP 应用程序，可让您在任何地方记录您的业余无线电联系人。使用PHP和MySQL构建的基于Web的业余无线电记录应用程序支持从HF到微波的一般站记录任务。其接口/index.php/oqrs/request_form存在SQL注入漏洞，攻击者可通过该漏洞获取数据库信息。

• 漏洞危害：恶意攻击者可以利用该漏洞执行恶意的注入语句，获取敏感数据或篡改数据库。

• 漏洞指纹：

icon_hash="-460032467"

3、bmcm-web-reprint-sql注入漏洞
– 插件更新时间：2024-12-16 09:21:41

• 漏洞级别：高危

• 漏洞描述：该产品/bmcm.asmx/RePrint接口处存在任意文件读取漏洞，攻击者可获取敏感信息。

• 漏洞危害：恶意攻击者可以利用该漏洞执行恶意的注入语句，获取敏感数据或篡改数据库。

• 漏洞指纹：

body="/bmcm.asmx?disco"

4、汉明科技-无线控制器-exportconfigbyhttp-信息泄露
– 插件更新时间：2024-12-15 22:56:23

• 漏洞级别：低危

• 漏洞描述：汉明科技自主研发的一款多业务无线控制器，也是一款面向园区网、商业地产、连锁商业、景区等大中型规模WiFi部署场景的多业务无线控制器。其接口/exportConfigByHttp存在信息泄露漏洞，可获取敏感信息。

• 漏洞危害：未经授权的远程攻击者可以利用该漏洞，可获取登录账号密码

• 漏洞指纹：

body="src=\"images/acchtext.png\""

5、迈普无线管理系统-exportconfigbyhttp-信息泄露 
– 插件更新时间：2024-12-15 22:51:10****

• 漏洞级别：低危

• 漏洞描述：迈普无线管理系统是迈普通信技术股份有限公司自主研发的一套高效、智能的无线网络管理平台。该系统支持对无线接入点（AP）、无线控制器（AC）等设备的集中管理和配置，提供丰富的业务类型和强大的管理功能。通过迈普无线管理系统，用户可以轻松实现无线网络的规划、部署、监控和维护，确保无线网络的高效、稳定运行。其接口/exportConfigByHttp存在信息泄露漏洞，可获取敏感信息。

• 漏洞危害：未经授权的远程攻击者可以利用该漏洞，可获取登录账号密码

• 漏洞指纹：

title="无线管理系统"

0x03
扫码加入星球查看详情

扫描加入星球不迷路

0x05星球介绍

马赛克安全

专注于漏洞情报分享，不发烂大街的东西。星球外面的兄弟欢迎进来白嫖，不满意三天退款。放心大胆的进来嫖！！！

很多漏洞均为全网首发的0day/1day，目前星球已累计发送460个漏洞POC脚本，有没有价值，只有体会才知道！！！