支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2018-11736 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
在 Pluck 4.7.7-dev2 之前的版本中,存在一个漏洞。攻击者可以通过将 `.htaccess` 文件的内容类型设置为 `image/jpeg` 来上传并执行任意 PHP 代码。

## 影响版本
- Pluck 4.7.7-dev2 之前的版本

## 漏洞细节
Pluck 应用程序中的 `/data/inc/images.php` 允许远程攻击者上传一个伪装成 `image/jpeg` 类型的 `.htaccess` 文件。该漏洞使攻击者能够上传并执行任意 PHP 代码,从而导致服务器被恶意控制。

## 影响
此漏洞允许攻击者执行任意 PHP 代码,从上传脚本到完全控制受影响的服务器。这可能导致敏感信息泄露、拒绝服务(DoS)和其他恶意操作。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞存在于Web服务的服务端,具体是在Pluck版本4.7.7-dev2之前的版本中。攻击者可以通过向/data/inc/images.php发送特定请求,利用image/jpeg内容类型上传一个.htaccess文件,从而在服务器上执行任意PHP代码。这表明该漏洞是服务端的漏洞,因为它涉及到服务器端代码的执行和文件系统的操作。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered in Pluck before 4.7.7-dev2. /data/inc/images.php allows remote attackers to upload and execute arbitrary PHP code by using the image/jpeg content type for a .htaccess file.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Pluck 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Pluck是一套使用PHP语言编写的简单内容管理系统(CMS)。 Pluck 4.7.7-dev2之前版本中的/data/inc/images.php文件存在安全漏洞。远程攻击者可通过上传image/jpeg类型的.htaccess文件利用该漏洞上传并执行任意的PHP代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2018-11736 的公开POC
#POC 描述源链接神龙链接
1PoC exploit for CVE-2018-11736 affecting Pluck CMS versions prior to 4.7.7-dev2 with a File Upload Vulnerabilityhttps://github.com/purgemebaby/CVE-2018-11736POC详情
三、漏洞 CVE-2018-11736 的情报信息
四、漏洞 CVE-2018-11736 的评论

暂无评论

发表评论