CVE-2024-2389 未经身份验证的命令注入
什么是 Progress Flowmon?
Progress Flowmon 是一种网络监控和分析工具,可提供对网络流量、性能和安全性的全面洞察。Flowmon 将 Nette PHP 框架用于其 Web 应用程序。
未经身份验证的路由
我们开始在“AllowedModulesDecider.php”文件中枚举未经身份验证的端点,这是一个描述 Progress Flowmon 中模块访问的组件。它包含 “ALLOWED_TO_UNLOGGED_USERS” 数组,定义无需身份验证即可访问的模块。在浏览了列表中允许的模块的代码后,“Service:Pdfs:Confluence” 脱颖而出,因为它包含了一些与生成 PDF 相关的有趣代码。在 Nette 框架中,这个模块的路径是 “/service.pdfs/confluence”。
此图显示了在AllowedModulesDecider.php中定义为 ALLOWED_TO_UN