Metasploit模块 on 办公AI智能小助手 https://blog.qife122.com/tags/metasploit%E6%A8%A1%E5%9D%97/ Recent content in Metasploit模块 on 办公AI智能小助手 Hugo zh-cn qife Fri, 02 Jan 2026 06:06:01 +0800 Pandora ITSM认证命令注入漏洞分析与利用 https://blog.qife122.com/p/pandora-itsm%E8%AE%A4%E8%AF%81%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B8%8E%E5%88%A9%E7%94%A8/ Fri, 02 Jan 2026 06:06:01 +0800 https://blog.qife122.com/p/pandora-itsm%E8%AE%A4%E8%AF%81%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B8%8E%E5%88%A9%E7%94%A8/ <h2 id="漏洞概述">漏洞概述</h2> <p>Pandora ITSM是一个用于服务管理与支持(包括帮助台)的平台,遵循ITIL流程。本文涉及的漏洞存在于应用程序设置页面的备份功能中。攻击者可以通过在<code>name</code>备份设置参数中注入恶意载荷,触发命令注入,最终导致远程代码执行(RCE)。要利用此漏洞,攻击者需要拥有Pandora ITSM Web应用的管理员访问权限。</p>