远程未授权访问漏洞(CVE-2024-23692)

admin 2024年11月26日10:26:09评论64 views字数 632阅读2分6秒阅读模式

===================================

免责声明

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。个人微信:ivu123ivu

0x01 工具介绍

CVE-2024-23692 是影响 Rejetto HTTP File Server(HFS)2.3m 及之前版本的模板注入漏洞。该漏洞允许远程未授权的攻击者通过发送特制的 HTTP 请求,在受影响的系统上执行任意命令。

0x02 安装与使用

漏洞原理: HFS 在处理 HTTP 响应时使用了默认模板,其中包含了来自请求的搜索查询参数。由于这些参数未被正确转义,导致服务器端模板注入(SSTI)漏洞的产生。攻击者可以通过精心构造的请求,利用未转义的符号和宏,注入任意命令并在服务器上执行。

危害: 成功利用该漏洞的攻击者可以在受影响的服务器上执行任意代码,可能导致以下后果:

  • 数据泄露: 攻击者可能访问或窃取敏感信息。

  • 数据篡改: 攻击者可能修改或删除重要数据。

  • 服务中断: 攻击者可能导致服务器崩溃或拒绝服务。

  • 恶意软件部署: 攻击者可能在服务器上安装恶意软件,如勒索软件或挖矿程序。

由于 HFS 2.3m 版本已不再受官方支持,建议用户升级至 HFS 3.x 版本以避免受到该漏洞的影响。

远程未授权访问漏洞(CVE-2024-23692)

0x03

原文始发于微信公众号(Web安全工具库):远程未授权访问漏洞(CVE-2024-23692)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月26日10:26:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   远程未授权访问漏洞(CVE-2024-23692)http://cn-sec.com/archives/3437351.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息