漏洞类型	代码注入	发现时间	2024-05-28	漏洞等级	严重
MPS编号	MPS-eafb-s8r2	CVE编号	–	漏洞影响广度

目录隐藏

2.1 OSCS 平台影响范围和处置方案

3 排查方式

漏洞危害

OSCS 描述

ShowDoc 是基于thinkPHP开发的开源文档管理系统，支持使用 Markdown 语法书写API文档、数据字典、在线Excel文档等功能。
ShowDoc 3.2.5之前版本存在sql注入漏洞，未授权的攻击者可利用该漏洞获取管理员 token 进入后台，进而结合反序列化漏洞写入WebShell，获取服务器权限。
参考链接：https://www.oscs1024.com/hd/MPS-eafb-s8r2

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
showdoc/showdoc (-∞, 3.2.5)	升级	将组件 showdoc/showdoc 升级至 3.2.5 及以上版本
参考链接：https://www.oscs1024.com/hd/MPS-eafb-s8r2

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-eafb-s8r2

https://github.com/star7th/showdoc/commit/805983518081660594d752573273b8fb5cbbdb30

ShowDoc <3.2.5 存在远程代码执行漏洞 (MPS-eafb-s8r2)

漏洞危害

影响范围及处置方案

OSCS 平台影响范围和处置方案

排查方式

相关推荐

Metabase 基于H2引擎的远程代码执行漏洞 （CVE-2023-37470） [有POC]

Apache Camel ExchangeCreatedEvent 信息泄漏 (CVE-2024-22371)

MeterSphere 未授权访问漏洞 （CVE-2023-38494） [有POC]

Apache Accumulo 身份认证过程缺陷 （CVE-2023-34340）

ShowDoc <3.2.5 存在远程代码执行漏洞 (MPS-eafb-s8r2)

Metabase 基于H2引擎的远程代码执行漏洞（CVE-2023-37470） [有POC]

MeterSphere 未授权访问漏洞（CVE-2023-38494） [有POC]

Apache Accumulo 身份认证过程缺陷（CVE-2023-34340）