本文共 416 字，大约阅读时间需要 1 分钟。

maxView Storage Manager 存储和通信解决方案的管理系统

近日，我们发现maxView Storage Manager系统中存在严重的代码执行漏洞。该漏洞存在于dynamiccontent.properties.xhtml文件中，攻击者可借助该文件路径执行任意代码，导致服务器权限被取控。

为了让您更好地理解这一问题，我们将详细说明漏洞的复现过程和PoC代码。

从技术细节来看，该漏洞的触发条件相对简单。攻击者只需发送特定的HTTP请求到以下路径即可：

/maxview/manager/javax.faces.resource/dynamiccontent.properties.xhtml

请求方法为POST，请求头和内容类型需包含在请求中。经过测试，我们发现该漏洞能够赋予攻击者对系统的完全控制权，这对企业信息安全构成了重大威胁。

在发现该漏洞后，建议企业立即对系统进行全面安全评估，并采取相应的防护措施。