智慧票务管理系统 /book/tickettypeindex.action 代码执行漏洞

影响产品：智慧票务管理系统 CVSS：9.0 漏洞类型：代码执行 漏洞描述： 深圳市鼎游信息技术有限公司智慧票务管理系统是一款专业的旅游景区票务管理软件，提供门票预订、检票验票、票务统计、财务管理等功能，广泛应用于景区、乐园、场馆等旅游娱乐场所。智慧票务管理系统 /book/tickettypeindex.action 接口存在Struts2 OGNL注入漏洞，攻击者可通过redirect参数执行任意Java代码和系统命令，获取服务器权限。 影响： 攻击者可利用该漏洞在目标服务器上执行任意系统命令，获取服务器敏感信息、上传后门文件、完全控制服务器，严重威胁系统安全。 修复建议： 1、升级到已修复该漏洞的版本；2、对redirect参数进行严格的输入验证，禁止OGNL表达式；3、使用WAF等安全设备拦截恶意请求；4、限制管理接口的访问权限。 FOFA： body="/book/showgoodsIndex.action"||title="鼎游旅游网"