漏洞信息
# N/A
## 漏洞概述
攻击者如果能够控制端口号,可以利用第三方模块 `kill-port` 中的 `exec` 函数注入任意操作系统命令。
## 影响版本
`kill-port` 版本小于 1.3.2
## 细节
攻击者通过控制一个敏感的端口号值,可以注入任意操作系统命令。该漏洞出现在 `kill-port` 模块中使用 `exec` 函数来执行命令时。
## 影响
攻击者能够通过控制端口号注入任意操作系统命令,从而可能导致系统被完全控制。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞涉及Web服务的服务端,因为攻击者可以通过控制端口,利用服务端使用了存在漏洞的第三方模块 kill-port < 1.3.2 中的 exec 函数,注入任意操作系统命令,这表明服务端代码存在安全问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
If an attacker can control the port, which in itself is a very sensitive value, they can inject arbitrary OS commands due to the usage of the exec function in a third-party module kill-port < 1.3.2.
CVSS信息
N/A
漏洞类别
在命令中使用的特殊元素转义处理不恰当(命令注入)
漏洞标题
kill-port 操作系统命令注入漏洞
漏洞描述信息
kill-port 1.3.2之前版本中存在操作系统命令注入漏洞,该漏洞源于外部输入数据构造操作系统可执行命令过程中,网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。
CVSS信息
N/A
漏洞类别
授权问题