可以利用蒙古石在驾驶舱实例上利用漏洞进行全部漏洞
开源内容管理系统Cockpit CMS的开发人员在PT Swarm的研究人员披露后,修补了两个安全漏洞。
这漏洞可以允许远程,未经验证的攻击者在某些配置中执行运行驾驶舱的服务器上执行代码,特别是仅限于运行蒙古人的驾驶舱。
“一系列脆弱性可能导致远程代码执行结果,妥协了应用程序正在运行的主机。”正面技术的安全研究人员Nikita Petrov告诉每日swbeplay2018官网ig。
PT Swarm是正面技术的安全研究部门,在在客户的外围找到了驾驶舱CMS实例后,研究了潜在的脆弱性。渗透测试,根据彼得罗夫。
Cockpit是一种“无头”内容管理系统或CMS,重点是使用API在包括网络在内的多个平台上分发结构化内容beplay体育能用吗物联网设备。CMS可与SQLite或MongoDB数据库一起使用。
笔测试人员发现了什么
Petrov在PT Swarm的团队发现,攻击者可以利用驾驶舱源代码中的漏洞执行一系列攻击,包括控制任何用户帐户并提取密码重置令牌。
这两个漏洞分别获得了9.8的“关键” CVSS评级。
第一个缺陷,CVE-2020-35846,允许NOSQL注射攻击通过控制器/auth.php检查功能,CVE-2020-35847通过控制器/auth.php resetPassword功能。彼得罗夫说,这允许在蒙古图书馆收购和远程代码执行。
PT Swarm建议所有座舱用户立即更新到最新版本,即0.12.0或更高版本。
你可能还喜欢思科路由器缺陷使小型企业网络开放滥用
驾驶舱开发人员Artur Heinze告诉每日swbeplay2018官网igPT蜂拥而至,将漏洞通知他,CMS的修补版本在一天之内发布。但是只有一些座舱装置有危险。
他说:“所述漏洞仅与使用基于SQLITE的小型项目的MongoDB实施的座舱实例有关,作为其数据源。”“基于MongoDB的驾驶舱实例从未受到影响。”
尽管如此,组织使用驾驶舱应检查并更新其安装。
NOSQL注入
驾驶舱和其他“无头CMS”软件的性质意味着可以安装系统,然后在很大程度上可以在后台工作。
无头CMS构建通常通过RESTFUL API而不是网页上的设备或应用程序提供内容,因此可能会通过一些安全检查遗漏。beplay体育能用吗
“驾驶舱CMS脆弱性关注的主要领域是,这使用户开放了一系列NOSQL注入漏洞,这反过来又有风险远程代码执行,” Josh Hickling,Hickling,Hickling,beplay体育能用吗Web应用程序安全Pentest People的顾问告诉每日swbeplay2018官网ig。
“使用SQL注入但是,随着NOSQL数据库引擎的兴起,一次又一次地看到了这些目标,正在采用新的攻击技术。”
Hickling added: “Should users fail to patch the currently vulnerable versions of Cockpit CMS, an unauthenticated attacker would be able to compromise the application and escalate privileges to an administrative user, in turn leading to remote code execution via uploading a web shell to the application’s ‘finder’ functionality. This poses large隐私和诚信问题。”
查看OWASP文档(PDF)有关NOSQL注入的更多信息
