一、 漏洞 CVE-2024-21546 基础信息
漏洞信息
# N/A
## 漏洞概述
unisharp/laravel-filemanager包在2.9.1之前的版本中存在远程代码执行(RCE)漏洞。通过使用有效的MIME类型并在PHP文件扩展名后插入`.`字符,攻击者可以执行恶意代码。
## 影响版本
- unisharp/laravel-filemanager 2.9.1之前的版本
## 漏洞细节
攻击者可以通过使用有效的MIME类型并在PHP文件扩展名后插入`.`字符来上传恶意文件,从而在服务器上执行任意代码。
## 漏洞影响
此漏洞允许攻击者在服务器上执行任意PHP代码,可能导致完全控制受影响的应用程序和服务器。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2024-21546 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | This Python exploit script targets a vulnerable Laravel Filemanager created by UniSharp, which allows authenticated users to bypass file restrictions and upload malicious files. This can lead to Remote Code Execution (RCE) when the uploaded payload is triggered. | https://github.com/ajdumanhug/CVE-2024-21546 | POC详情 |
三、漏洞 CVE-2024-21546 的情报信息
-
标题: Remote Code Execution (RCE) in unisharp/laravel-filemanager | CVE-2024-21546 | Snyk -- 🔗来源链接
标签:
-
标题: RCE through Upload Shell on Unisharp Laravel Filemanager · GitHub -- 🔗来源链接
标签:
-
标题: fix(security): file extension should not contain special characters · UniSharp/laravel-filemanager@8170760 · GitHub -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-21546
四、漏洞 CVE-2024-21546 的评论
暂无评论