瑞友天翼应用虚拟化系统 hmrao.php SQL注入致代码执行漏洞

• 漏洞编号：暂无
  
• 漏洞类型：远程注入
• 漏洞等级：高危
• 发布时间：2024-05-06

漏洞描述：

瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权，基于服务器计算架构的应用虚拟化平台。2024年5月，互联网上披露其 hmrao.php 存在目录遍历与SQL注入漏洞，攻击者可构造恶意请求造成代码执行。官方已经发布7.0.5.1及以上版本修复该漏洞。

影响版本：

修复建议

1、升级至最新版本，并安装GWT7.0.5_patch_202405081139 补丁。
2、拦截限制访问/hmrao.php路径且带有目录穿越和恶意SQL语句的POST请求。

参考链接:
http://www.realor.cn/product/xiazaishiyong/