CVE-2021-40904
漏洞描述
CheckMk Raw Edition(版本 1.5.0 到 1.5.0p25)的 Web 管理控制台允许错误配置允许嵌入 php 代码的 Web 应用程序 Dokuwiki(默认安装)。结果,实现了远程代码执行。成功的利用需要使用有效凭据或具有管理员角色的用户劫持会话来访问 Web 管理界面。
影响版本
从 1.5.0 到 1.5.0p25
攻击类型
RCE
解决方案
升级到 1.6 或更高版本时间线
2021-09-01 发现问题。
2021-09-06 第一次通过电子邮件与供应商联系。
2021-09-08 供应商回应。已经检测到 RCE 漏洞,并且补丁中已经存在更高版本。
2022-03-25 公开披露。
漏洞利用
前提条件:进入后台
版本:从 1.5.0 到 1.5.0p25
参考
https://checkmk.com/download/archive#checkmk-1.6.0
https://checkmk.com/download/archive#checkmk-2.0.0
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40904
https://nvd.nist.gov/vuln/detail/CVE-2021-40904对某‘博彩’网站的一次渗透
2022-04-10
2022-4-10 有新的CVE仓库送达!
2022-04-10
一个关于黑客“信任”漏洞的故事
2022-04-09
网络¥安全联盟站—李白你好
欢迎关注[李白你好]-文章内容涉及网络¥安全,web渗透测试、内网安全、二进制安全、工业控制安全、APP逆向、CTF、SRC等。
微信:libaisec
微信交流群:加我微信拉你进群和工程师们学技术聊人生
原文始发于微信公众号(李白你好):CVE-2021-40904—CheckMk后台RCE
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论