盒子里有什么?
安全研究人员已经表明,他如何能够解决两个漏洞以实现远程代码执行(RCE)针对Pandora FMS(灵活的监视系统)。
匈牙利安全研究员Matek Kamillo发现的虫子的支架在通知计算机网络监控系统的开发人员的一个月内迅速固定,从而清除了披露技术细节的方式。
如详细说明技术文章由卡米洛(Kamillo)跨站脚本((XSS)软件的视觉控制台组件中的缺陷可以与文件上传漏洞结合使用,以通过恶意JavaScript实现RCE。
布比陷阱
文件上传漏洞之所以出现,是因为“相对路径可以用作目录名称”,从而允许内置保护措施通常会阻止任意文件上传。
剥削将要求攻击者在欺骗合法管理员触发此笨拙的陷阱之前,在企业软件的脆弱视觉控制台组件中创建恶意有效载荷。该活动将触发恶意下载JavaScript反过来,执行恶意PHP代码。
两个解决缺陷被跟踪为CVE-2021-35501(XSS)和CVE-2021-34074(上传文件)。
如果成功,攻击将在脆弱的Pandora FMS安装上打开反向外壳。
这两个漏洞都在本月初发布的Pandora FMS版本的755版中固定。
Kamillo的博客文章提供了有关漏洞的详细技术步行,其中包含代码和演示视频。
王国的钥匙
安全研究人员拥有Pandora FMS的历史记录,以前通过文件管理器发现了PHP文件上传漏洞。
卡米洛告诉每日swbeplay2018官网ig监视系统产品可以访问多个系统并存储关键信息。因此,它们是黑客(道德或其他方面)的有吸引力的目标,因为这些“监测系统是整个王国的关键”。
现有对Pandora FMS产品的熟悉使Kamillo在半天工作后发现了脆弱性。
Kamillo补充说,他发现的缺陷为笔测试人员和软件开发人员提供了课程。
他解释说:“管理功能是任何Web应用程序的关键部分。”beplay体育能用吗“在这种情况下,Web管理员和控制台用户之间的边界尚不清楚。beplay体育能用吗我在同一组件中找到了多个文件上传漏洞。
Kamillo继续说:“用户输入处理也是任何Web应用程序的关键部分。beplay体育能用吗XSS漏洞确实很危险,并且被广泛误解。我多次听到以下句子:“这并不严重,只是XSS”。使用JavaScript,可以做很多事情。”
根据Kamillo的说法,安全源代码审查和渗透测试必须是每个开发过程的一部分。他补充说:“自动源代码审核工具还不够,需要手动测试。”