Control Web Panel中的关键漏洞使Linux服务器遭受RCE攻击
相关标签: # 攻击# 软件# 黑客# 缺陷
研究人员披露了控制网络面板CVE-2021-45467,该问题涉及一种文件包含漏洞的情况,当web应用程序被诱骗在web服务器上公开或运行任意文件时,就会出现这种漏洞
Control Web Panel,以前是CentOS Web Panel,是一种用于部署Web托管环境的开源Linux控制面板软件
这意味着为了利用该漏洞,攻击者所要做的就是修改include语句,该语句用于将一个PHP文件的内容包含到另一个PHP文件中,从远程资源注入恶意代码并实现代码执行
有趣的是,虽然应用程序有保护措施来标记切换到父目录的努力(用“.”表示)作为一种“黑客企图”,它没有阻止PHP解释器接受精心编制的字符串,例如“$00”有效地实现完全绕行
发送一个以空字节为动力的文件包含负载,以添加恶意API密钥
使用API密钥写入文件(CVE-2021-45466)
使用步骤#1包含我们刚刚写入的文件(CVE-2021-45467)
在负责任的披露之后,CWP维护人员已经解决了这些缺陷,并在本月早些时候发布了更新
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
