Ncast盈可视高清智能录播系统busiFacade RCE漏洞(CVE-2024-0305)

产品介绍

Ncast盈可视高清智能录播系统是一套新进的音视频录制和播放系统，旨在提供高质量，高清定制的录播功能。

漏洞描述

广州盈可视电子科技有限公司的高清智能录播系统存在信息泄露漏洞(CVE-2024-0305)，攻击者可通过该漏洞，利用访客身份未授权访问/manage/IPSetup.php后台功能模块，使用网络诊断功能模块可实现未授权远程命令执行，导致服务器失陷被控。

资产测绘

app=“Ncast-产品” && title==“高清智能录播系统”

漏洞复现

访问首页以游客身份直接登录

进入后，并不可以直接访问后台网络管理模块，可以通过直接访问url/manage/IPSetup.php的形式，达到未授权访问的效果

点击到网络诊断功能，存在命令执行注入漏洞

修复建议

1、升级至最新版本
2、对相关接口进行限制访问、鉴权。

免责声明

本文章仅做网络安全技术研究使用！严禁用于非法犯罪行为，请严格遵守国家法律法规；请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者无关。使用本文所提供的信息或工具即视为同意本免责声明，并承诺遵守相关法律法规和道德规范。