ShowDoc <3.2.5 存在远程代码执行漏洞 (MPS-eafb-s8r2)

漏洞类型 代码注入 发现时间 2024-05-28 漏洞等级 严重
MPS编号 MPS-eafb-s8r2 CVE编号 漏洞影响广度

漏洞危害

OSCS 描述
ShowDoc 是基于thinkPHP开发的开源文档管理系统,支持使用 Markdown 语法书写API文档、数据字典、在线Excel文档等功能。
ShowDoc 3.2.5之前版本存在sql注入漏洞,未授权的攻击者可利用该漏洞获取管理员 token 进入后台,进而结合反序列化漏洞写入WebShell,获取服务器权限。
参考链接:https://www.oscs1024.com/hd/MPS-eafb-s8r2

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
showdoc/showdoc (-∞, 3.2.5) 升级 将组件 showdoc/showdoc 升级至 3.2.5 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-eafb-s8r2

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-eafb-s8r2

https://github.com/star7th/showdoc/commit/805983518081660594d752573273b8fb5cbbdb30

(1)
上一篇 2024年5月24日
下一篇 2024年5月30日

相关推荐

  • MinIO 权限提升漏洞 (CVE-2024-24747)

    漏洞类型 权限管理不当 发现时间 2024-02-01 漏洞等级 高危 MPS编号 MPS-80no-taj1 CVE编号 CVE-2024-24747 漏洞影响广度 广 漏洞危害 OSCS 描述 MinIO是一个高性能对象存储服务。 Minio中创建访问密钥时权限继承存在问题。创建新的访问密钥会继承其父密钥对s3:*和admin:*的操作权限,如果在访问密…

    2024年2月2日
    0
  • @strapi/plugin-users-permissions<4.24.2 存在 token 泄露风险 (CVE-2024-34065)

    漏洞类型 使用捕获-重放进行的认证绕过 发现时间 2024-06-13 漏洞等级 高危 MPS编号 MPS-3xsj-n2yz CVE编号 CVE-2024-34065 漏洞影响广度 漏洞危害 OSCS 描述 Strapi 是开源的内容管理系统,@strapi/plugin-users-permissions 插件用于用户权限管理。 @strapi/plug…

    漏洞 2024年6月13日
    0
  • Zabbix Server Audit Log SQL注入导致RCE (CVE-2024-22120)

    漏洞类型 SQL注入 发现时间 2024-05-20 漏洞等级 严重 MPS编号 MPS-ytof-ah8v CVE编号 CVE-2024-22120 漏洞影响广度 漏洞危害 OSCS 描述 Zabbix 是开源的网络监控工具,用于监控网络服务、服务器和网络设备的性能和可用性。 受影响版本中,由于 audit.c 中的 zbx_auditlog_global…

    漏洞 2024年5月21日
    0
  • Strapi <4.10.8 敏感信息泄漏漏洞 (CVE-2023-34235) [有POC]

    漏洞类型 未授权敏感信息泄露 发现时间 2023/7/26 漏洞等级 严重 MPS编号 MPS-mxgn-froy CVE编号 CVE-2023-34235 漏洞影响广度 一般 漏洞危害 OSCS 描述 Strapi 是一个开源的 headless 内容管理系统,可将内容的创建与展示进行分离。Strapi 4.10.8之前版本中,由于 Knex 查询允许更改…

    2023年8月11日
    0
  • Oracle WebLogic T3/IIOP协议远程代码执行漏洞 (CVE-2024-21006)

    漏洞类型 反序列化 发现时间 2024-04-17 漏洞等级 高危 MPS编号 MPS-4q59-ecuw CVE编号 CVE-2024-21006 漏洞影响广度 一般 漏洞危害 OSCS 描述 Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件。 在WebLogic Server12.2…

    漏洞 2024年4月22日
    0