一、 漏洞 CVE-2018-11222 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Artica Pandora FMS 通过版本 7.23 存在本地文件包含 (LFI) 漏洞,攻击者可以通过 /pandora_console/ajax.php AJAX 端点调用任何 PHP 文件。

## 影响版本
- 7.23 及以下版本

## 漏洞细节
攻击者可以利用 Local File Inclusion (LFI) 漏洞通过 `/pandora_console/ajax.php` 端点调用任意 PHP 文件。这一漏洞允许攻击者访问和执行服务器上的敏感文件,并可能进一步导致权限提升或其他恶意活动。

## 影响
此漏洞可能导致攻击者访问敏感数据和执行恶意代码,从而对系统安全性和数据完整性构成严重威胁。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Local File Inclusion (LFI) in Artica Pandora FMS through version 7.23 allows an attacker to call any php file via the /pandora_console/ajax.php ajax endpoint.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Artica Pandora FMS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Artica Pandora FMS(Flexible Monitoring System)是西班牙Artica公司的一套监控系统。该系统通过可视化的方式监控网络、服务器、虚拟基础架构和应用程序等。 Artica Pandora FMS 7.23及之前版本中存在安全漏洞。攻击者可利用该漏洞调用任意的php文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2018-11222 的公开POC
# POC 描述 源链接 神龙链接
1 Pandora FMS versions <=7.0NG.722 are vulnerable to unauthenticated remote code execution by chaining an unrestricted file upload (CVE-2018-11221) and a local file inclusion (CVE-2018-11222). An attacker can upload a malicious PHP file as a plugin and execute it via LFI, leading to full compromise of the server. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2018/CVE-2018-11222.yaml POC详情
三、漏洞 CVE-2018-11222 的情报信息