Awesome-POC/Web服务器漏洞/Apache Zeppelin 未授权任意命令执行漏洞.md

# Apache Zeppelin 未授权任意命令执行漏洞

## 漏洞描述

Apache Zeppelin 存在未授权的用户访问命令执行接口，导致了任意用户都可以执行恶意命令获取服务器权限

## 漏洞影响

```
Apache Zeppelin
```

## FOFA

```
icon_hash="960250052"
```

## 漏洞复现

含有漏洞的页面如下

![image-20220209122046358](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091220423.png)


点击 创建一个匿名用户在用户页面执行命令即可

![image-20220209122110291](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091221386.png)
Web服务器漏洞 2022-02-21 10:26:43 +08:00			`# Apache Zeppelin 未授权任意命令执行漏洞`

			`## 漏洞描述`

			`Apache Zeppelin 存在未授权的用户访问命令执行接口，导致了任意用户都可以执行恶意命令获取服务器权限`

			`## 漏洞影响`

			```
			`Apache Zeppelin`
			```

			`## FOFA`

			```
			`icon_hash="960250052"`
			```

			`## 漏洞复现`

			`含有漏洞的页面如下`

			`![image-20220209122046358](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091220423.png)`



			`点击创建一个匿名用户在用户页面执行命令即可`

			`![image-20220209122110291](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091221386.png)`