漏洞描述:
CheckMk Raw Edition(版本 1.5.0 到 1.5.0p25)的 Web 管理控制台存在允许嵌入 PHP 代码的错误配置,影响默认安装的 Web 应用程序 Dokuwiki。攻击者可通过成功利用此漏洞实现远程代码执行。然而,要成功利用该漏洞,需要使用有效凭据或具有管理员角色的用户劫持会话来访问 Web 管理界面。
影响版本:
1.5.0 到 1.5.0p25
攻击类型:
远程代码执行 (RCE)
解决方案:
升级到 1.6 或更高版本
时间线:
- 2021-09-01:发现问题。
- 2021-09-06:第一次通过电子邮件与供应商联系。
- 2021-09-08:供应商回应。已检测到 RCE 漏洞,补丁已包含在更高版本中。
- 2022-03-25:公开披露。
漏洞利用:
前提条件:进入后台
版本:1.5.0 到 1.5.0p25
© 版权声明
THE END
暂无评论内容