一、 漏洞 CVE-2021-32849 基础信息
漏洞信息
                                        # Gerapy中的任意命令执行漏洞

## 漏洞概述
Gerapy 是一个分布式爬虫管理框架,版本 0.9.9 之前的版本中存在一个漏洞,该漏洞允许经过身份验证的用户执行任意命令。

## 影响版本
- 所有版本低于 0.9.9 的 Gerapy 版本

## 细节
此漏洞允许经过身份验证的用户在受影响的 Gerapy 系统中执行任意命令。

## 影响
未经修复的版本中存在任意命令执行风险,已知没有可行的变通方法,需要升级至 0.9.9 或更高版本修复该漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Arbitrary command execution in Gerapy
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Gerapy is a distributed crawler management framework. Prior to version 0.9.9, an authenticated user could execute arbitrary commands. This issue is fixed in version 0.9.9. There are no known workarounds.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Gerapy 命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Gerapy是一款基于Scrapy、Scrapyd、Django和Vue.js的分布式爬虫管理框架。 Gerapy 存在安全漏洞,该漏洞源于经过身份验证的用户可以执行任意命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
命令注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-32849 的公开POC
# POC 描述 源链接 神龙链接
1 Gerapy clone background remote command execution https://github.com/bb33bb/CVE-2021-32849 POC详情
2 cve-2021-32849(gerapy命令执行) https://github.com/lowkey0808/cve-2021-32849 POC详情
3 None https://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/Gerapy%20clone%20%E5%90%8E%E5%8F%B0%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%20CVE-2021-32849.md POC详情
4 None https://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/Gerapy%20project_clone%20&%20project_parse%20%E5%90%8E%E5%8F%B0%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%20CVE-2021-32849.md POC详情
三、漏洞 CVE-2021-32849 的情报信息