01
漏洞描述
Microweber是新一代的拖放式网站建设者和内容管理系统。这个项目是开源的,您可以下载它并在自己的服务器上免费使用它。我们用来开发它的主要技术是Laravel / PHP Framework。
Microweber的主要特点是简单的拖放技术,实时 - 实时 - 文本编写和编辑。Microweber通过两个主要部分促进内容管理过程:
1)管理面板,使您能够编辑网站的设置,网站结构和页面。
2)实时编辑模式是交互式实时页面和内容编辑器。
Microweber 1.2.12之前版本存在拒绝服务漏洞,该漏洞源于应用程序允许在输入字段"post title"中插入大字符,攻击者可利用该漏洞通过精心设计的HTTP请求导致拒绝服务 (DoS)。
02
漏洞危害
microweber 应用程序允许在输入字段“帖子标题”中插入大字符,这可能允许攻击者通过精心设计的 HTTP 请求导致拒绝服务 (DoS)。在 1.2.12 之前的 GitHub 存储库 microweber/microweber 中。
03
影响范围
MicroweberMicroweber <1.2.12
04
漏洞等级
高危
05
修复方案
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://github.com/microweber/microweber/commit/f7acbd075dff4825b35b597b74958de9edce67fc
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Microweber post title拒绝服务漏洞(CVE-2022-0961)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论