一、 漏洞 CVE-2021-27964 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
SonLogger版本6.4.1之前的版本存在未认证任意文件上传漏洞。攻击者可以通过发送一个不需要任何认证或会话头的POST请求到`/Config/SaveUploadedHotspotLogoFile`上传文件。上传的文件类型和内容没有进行检查,这可能导致任意文件上传。

## 影响版本
- SonLogger 6.4.1之前的版本

## 漏洞细节
攻击者可以通过发送一个POST请求到`/Config/SaveUploadedHotspotLogoFile`路径来上传任意文件,而不需要提供任何认证或会话头信息。此外,服务器端没有对上传文件的类型和内容进行验证,使得攻击者可以上传具有恶意内容的文件。

## 影响
该漏洞可能导致攻击者上传恶意文件,如脚本、木马等,从而进一步控制或破坏系统。需要及时更新至最新版本或采取措施限制上传文件的类型和内容,以防止未经授权的文件上传。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
SonLogger before 6.4.1 is affected by Unauthenticated Arbitrary File Upload. An attacker can send a POST request to /Config/SaveUploadedHotspotLogoFile without any authentication or session header. There is no check for the file extension or content of the uploaded file.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Sonlogger 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Sonlogger是土耳其 (Sonlogger)公司的一个应用软件。提供防火墙日志分析定位功能。 SonLogger before 6.4.1 存在安全漏洞,该漏洞允许未经身份验证的上传任意文件。攻击者可以向/Config/SaveUploadedHotspotLogoFile发送POST请求,而无需任何身份验证或会话标头。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-27964 的公开POC
# POC 描述 源链接 神龙链接
1 SonLogger before 6.4.1 is affected by Unauthenticated Arbitrary File Upload. An attacker can send a POST request to /Config/SaveUploadedHotspotLogoFile without any authentication or session header. There is no check for the file extension or content of the uploaded file. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2021/CVE-2021-27964.yaml POC详情
三、漏洞 CVE-2021-27964 的情报信息
四、漏洞 CVE-2021-27964 的评论

暂无评论

发表评论