GLPI-Poc CVE-2022-35914
2022-10-10 12:3:48 Author: Ots安全(查看原文) 阅读量:48 收藏

这些修复了两个严重的安全漏洞:SQL 注入 (CVE-2022-35947) 和远程代码执行 (CVE-2022-35914,第三方库中的漏洞,htmlawed),后者自 10 月 3 日以来已被大规模利用, 2022 在不安全的服务器上执行代码,在互联网上可用,托管 GLPI(GLPI 网络云实例不受影响)。

如果您不是最新版本 9.5.9 或 10.0.3,则必须  根据 推荐的方法更新您的实例 (从一个空文件夹,不覆盖现有的 GLPI 文件)。

我们注意到存在修正版本也可能受到影响的情况:当执行 GLPI 更新时,通过 在现有文件夹和文件上解压缩存档。我们坚持认为这种更新 GLPI 的方式是一种不好的做法,尽管存在当前的安全问题,但仍会使您面临错误。

CVE-2022-35914 GLPI <10.0.2 - PHP 代码注入 

FOFA 语法:app="TECLIB-GLPI"

POC:https://github.com/cosad3s/CVE-2022-35914-poc

参考:GLPI htmlawed Rce(CVE-2022-35914)


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247495661&idx=3&sn=45acf3b7f8aa0287248bb4690dc89eaa&chksm=9bada6a6acda2fb0d0fa236b012a9df8d3afee09e03d1cfcceae547ee14e7bd97e0dc3543d2d#rd
如有侵权请联系:admin#unsafe.sh