CVE-2021-40904——CheckMk后台RCE
【摘要】
CVE-2021-40904
漏洞描述
CheckMk Raw Edition(版本 1.5.0 到 1.5.0p25)的 Web 管理控制台允许错误配置允许嵌入 php 代码的 Web 应用程序 D...
CVE-2021-40904
漏洞描述
CheckMk Raw Edition(版本 1.5.0 到 1.5.0p25)的 Web 管理控制台允许错误配置允许嵌入 php 代码的 Web 应用程序 Dokuwiki(默认安装)。结果,实现了远程代码执行。成功的利用需要使用有效凭据或具有管理员角色的用户劫持会话来访问 Web 管理界面。
影响版本
从 1.5.0 到 1.5.0p25
攻击类型
RCE
解决方案
升级到 1.6 或更高版本
- 1
时间线
2021-09-01 发现问题。
2021-09-06 第一次通过电子邮件与供应商联系。
2021-09-08 供应商回应。已经检测到 RCE 漏洞,并且补丁中已经存在更高版本。
2022-03-25 公开披露。
漏洞利用
前提条件:进入后台
版本:从 1.5.0 到 1.5.0p25
参考
https://checkmk.com/download/archive#checkmk-1.6.0
https://checkmk.com/download/archive#checkmk-2.0.0
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40904
https://nvd.nist.gov/vuln/detail/CVE-2021-40904
- 1
- 2
- 3
- 4
文章来源: libai.blog.csdn.net,作者:网络¥安全联盟站,版权归原作者所有,如需转载,请联系作者。
原文链接:libai.blog.csdn.net/article/details/124077068
【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)