一、 漏洞 CVE-2021-44967 基础信息
漏洞信息
# N/A
## 概述
在 LimeSurvey 5.2.4 中存在一个远程代码执行 (RCE) 漏洞,通过上传和安装插件功能,远程恶意用户可以上传包含任意 PHP 代码的文件。
## 影响版本
- LimeSurvey 5.2.4
## 细节
攻击者可以通过上传和安装插件的功能,上传一个包含任意 PHP 代码的文件。虽然供应商认为插件可以故意包含任意 PHP 代码,并且只能由超级管理员安装,因此这种发现没有违反其安全模型。
## 影响
- 该漏洞允许远程恶意用户通过上传恶意插件代码,在服务器上执行任意 PHP 代码。然而,供应商认为这种发现并未违反其安全模型。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A Remote Code Execution (RCE) vulnerabilty exists in LimeSurvey 5.2.4 via the upload and install plugins function, which could let a remote malicious user upload an arbitrary PHP code file. NOTE: the Supplier's position is that plugins intentionally can contain arbitrary PHP code, and can only be installed by a superadmin, and therefore the security model is not violated by this finding.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
LimeSurvey 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
LimeSurvey(前称PHPSurveyor)是LimeSurvey(Limesurvey)团队的一套开源的在线问卷调查程序,它支持调查程序开发、调查问卷发布以及数据收集等功能。 LimeSurvey 5.2.4 存在安全漏洞,该漏洞允许远程恶意用户上传任意PHP代码文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-44967 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | POC exploit for CVE-2021-44967 | https://github.com/D3Ext/LimeSurvey-RCE | POC详情 |
| 2 | POC exploit for CVE-2021-44967 | https://github.com/D3Ext/CVE-2021-44967 | POC详情 |
| 3 | POC for CVE-2021-44967: LimeSurvey RCE | https://github.com/godylockz/CVE-2021-44967 | POC详情 |
| 4 | Authenticated (privileged) remote command execution in LimeSurvey Version 5.2.4 via upload and install plugins allows a remote user to upload arbitrary PHP code file. | https://github.com/monke443/CVE-2021-44967 | POC详情 |
三、漏洞 CVE-2021-44967 的情报信息
- https://www.exploit-db.com/exploits/50573 x_refsource_MISC
- https://github.com/Y1LD1R1M-1337/Limesurvey-RCE x_refsource_MISC
-
标题: Plugins - advanced - LimeSurvey Manual -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2021-44967