支持本站 — 捐款将帮助我们持续运营

目标: 1000 元,已筹: 1000

100.0%
立即捐款
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2022-21705 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

漏洞
Authenticated remote code execution in octobercms
来源: 美国国家漏洞数据库 NVD
漏洞信息
Octobercms is a self-hosted CMS platform based on the Laravel PHP Framework. In affected versions user input was not properly sanitized before rendering. An authenticated user with the permissions to create, modify and delete website pages can exploit this vulnerability to bypass `cms.safe_mode` / `cms.enableSafeMode` in order to execute arbitrary code. This issue only affects admin panels that rely on safe mode and restricted permissions. To exploit this vulnerability, an attacker must first have access to the backend area. The issue has been patched in Build 474 (v1.0.474) and v1.1.10. Users unable to upgrade should apply https://github.com/octobercms/library/commit/c393c5ce9ca2c5acc3ed6c9bb0dab5ffd61965fe to your installation manually.
来源: 美国国家漏洞数据库 NVD
漏洞信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源: 美国国家漏洞数据库 NVD
漏洞
输出中的特殊元素转义处理不恰当(注入)
来源: 美国国家漏洞数据库 NVD
漏洞
Octobercms 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
漏洞信息
Octobercms是美国Octobercms公司的一个基于Php的Cms建站系统。 Octobercms 存在安全漏洞,该漏洞源于用户输入在呈现前没有被正确地清除。拥有创建、修改和删除网站页面权限的认证用户可以利用这个漏洞绕过cms以便执行任意代码。
来源: 中国国家信息安全漏洞库 CNNVD
漏洞信息
N/A
来源: 中国国家信息安全漏洞库 CNNVD
漏洞
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
厂商产品影响版本CPE订阅
octobercmsoctober < 1.0.474 -
二、漏洞 CVE-2022-21705 的公开POC
#POC 描述源链接神龙链接
1October CMS is susceptible to remote code execution. In affected versions, user input is not properly sanitized before rendering. An authenticated user with the permissions to create, modify, and delete website pages can bypass cms.safe_mode and cms.enableSafeMode in order to execute arbitrary code. This affects admin panels that rely on safe mode and restricted permissions. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2022/CVE-2022-21705.yamlPOC详情
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC
三、漏洞 CVE-2022-21705 的情报信息
登录 三、漏洞 %(cve_id)s 的情报信息
新漏洞
产品: october
厂商: octobercms
Same weakness: CWE-74
四、漏洞 CVE-2022-21705 的评论

暂无评论

发表评论