| タイトル | https://www.qiyuesuo.com/ electronic signature platform <=4.34 RCE |
|---|
| 説明 | In this exploit, the attacker used the platform's scheduled task feature to upload custom Java class files and bypassed the Runtime/Process blacklist detection mechanism by concatenating strings and using reflection. Ultimately, the attacker successfully executed system commands on the server side, completing remote command execution (RCE). |
|---|
| ソース | ⚠️ https://github.com/nn0nkey/nn0nkey/blob/main/QYS/QYS_task.md |
|---|
| ユーザー | nn0nkey (UID 74287) |
|---|
| 送信 | 2025年07月30日 10:40 (11 月 ago) |
|---|
| モデレーション | 2025年08月08日 22:26 (9 days later) |
|---|
| ステータス | 重複 |
|---|
| VulDBエントリ | 319298 [Qiyuesuo Eelectronic Signature Platform 迄 4.34 Scheduled Task /api/code/upload execute ファイル 特権昇格] |
|---|
| ポイント | 0 |
|---|