漏洞复现!Froxlor SQL注入漏洞(CVE-2021-42325)

admin 2021年11月30日11:03:08评论311 views字数 1227阅读4分5秒阅读模式
                     


点击上方 订阅话题 第一时间了解漏洞威胁

漏洞复现!Froxlor SQL注入漏洞(CVE-2021-42325)

0x01 漏洞描述


Froxlor是一款由德国人开发的支持nginx,apache,lighttpd的web控制面板,具有切换中文,管理方便等特点。 
漏洞复现!Froxlor SQL注入漏洞(CVE-2021-42325)
Froxlor v0.10.28、v0.10.29、v0.10.29.1版本在设置创建数据库时指定数据库名称的情况下,存在SQL注入漏洞,拥有customer权限的攻击者可以通过漏洞创建Froxlor管理员帐户升级权限,并使用该帐户在目标计算机上以root用户身份远程执行代码。



0x02 危害等级


严重:9.8

0x03 漏洞复现


2021年11月30日,360漏洞云安全专家已复现上述漏洞,演示如下:

漏洞复现!Froxlor SQL注入漏洞(CVE-2021-42325)
CVE-2021-42325

完整POC代码已在360漏洞云情报平台(https://loudongyun.360.cn/)发布,360漏洞云情报平台用户可通过平台下载进行安全自检。

0x04 影响版本


Froxlor
=0.10.28
=0.10.29
=0.10.29.1

0x05 修复建议


厂商已发布升级修复漏洞,用户请尽快更新至安全版本:0.10.30版本。
下载地址:
https://froxlor.org/


与此同时,360漏洞云提醒您请做好资产自查以及预防工作,以免遭受黑客攻击。


0x06 产品侧解决方案


三六零云探安全监测系统,是一款面向党政军、金融、教育和互联网用户的综合型SaaS化网站应用安全监测服务产品,可有效监测网站的异常,发现企业网站的安全问题,目前已可以针对此漏洞进行安全监测。

三六零磐云安全防护系统,是集合网站配置、防护、加速、管理于一体的基于SaaS化安全防护产品,旨在解决用户网站安全问题,目前已可以针对此漏洞进行安全防护。

360AISA全流量威胁分析系统,是基于360海量安全大数据及丰富的攻防实战经验,利用AI、机器学习等技术研发的新一代威胁感知产品,能够精准发现攻击入侵行为、高级威胁活动,目前已可以针对此漏洞进行安全防护。

360本地安全大脑,充分结合360漏洞云情报和客户安全现状,即将推出下一代安全解决方案。

0x07 获取更多情报


建议您订阅360漏洞云-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
电话:010-52447660
邮箱:[email protected]
网址:https://loudongyun.360.cn

360漏洞云介绍
360安全大脑漏洞云以技术为驱动,以安全专家为核心,围绕漏洞生态体系打造集漏洞监测、漏洞收集、漏洞挖掘、漏洞存储、漏洞管理、专家响应、漏洞情报预警、安全服务定制化于一体的漏洞安全一站式服务,帮助客户防患于未然,在降低资产风险的同时,大幅提升客户对漏洞感知、预警、分析等响应能力,为国家、政企客户、用户抢占风险预警处置先机,提升网络安全主动防护能力。

原文始发于微信公众号(360漏洞云):漏洞复现!Froxlor SQL注入漏洞(CVE-2021-42325)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月30日11:03:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞复现!Froxlor SQL注入漏洞(CVE-2021-42325)http://cn-sec.com/archives/654911.html

发表评论

匿名网友 填写信息