投稿
  1. 首页
  2. java

CVE-2021-40904——CheckMk后台RCE

code 2022-4-26 java 阅读 62

CVE-2021-40904——CheckMk后台RCE,第1张

CVE-2021-40904 漏洞描述

CheckMk Raw Edition(版本 1.5.0 到 1.5.0p25)的 Web 管理控制台允许错误配置允许嵌入 php 代码的 Web 应用程序 Dokuwiki(默认安装)。结果,实现了远程代码执行。成功的利用需要使用有效凭据或具有管理员角色的用户劫持会话来访问 Web 管理界面。

影响版本

从 1.5.0 到 1.5.0p25

攻击类型

RCE

解决方案 
升级到 1.6 或更高版本
时间线

2021-09-01 发现问题。

2021-09-06 第一次通过电子邮件与供应商联系。

2021-09-08 供应商回应。已经检测到 RCE 漏洞,并且补丁中已经存在更高版本。

2022-03-25 公开披露。

漏洞利用

前提条件:进入后台
版本:从 1.5.0 到 1.5.0p25

参考 
https://checkmk.com/download/archive#checkmk-1.6.0
https://checkmk.com/download/archive#checkmk-2.0.0
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40904
https://nvd.nist.gov/vuln/detail/CVE-2021-40904

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/langs/722321.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
code code 管理员组
0 0
上一篇 2022-04-26
下一篇 2022-04-26

发表评论

登录后才能评论

评论列表(0条)

保存