一、 漏洞 CVE-2024-32651 基础信息
漏洞信息
# Jinja2中的服务器端模板注入允许远程命令执行
## 漏洞概述
changedetection.io 是一个开源的网页变更检测、网站监控和通知服务。该服务中存在的 Jinja2 模板注入漏洞(SSTI)可导致服务器主机上的远程命令执行。攻击者可以不受限制地运行任意系统命令,甚至可利用反向shell。此漏洞的影响极为严重,攻击者能够完全接管服务器。
## 影响版本
暂无具体版本信息
## 漏洞细节
该漏洞源于 Jinja2 模板引擎中的 SSTI 漏洞,允许攻击者在服务器上执行任意命令。攻击者能够利用此漏洞运行任意系统命令,甚至启动反向shell。
## 影响
该漏洞的影响非常严重,攻击者可以完全接管服务器机器。如果 changedetection.io 被部署在登录页面之后,可以减轻此类攻击的风险,但这并不是默认设置,也未被强制执行。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Server Side Template Injection in Jinja2 allows Remote Command Execution
来源:美国国家漏洞数据库 NVD
漏洞描述信息
changedetection.io is an open source web page change detection, website watcher, restock monitor and notification service. There is a Server Side Template Injection (SSTI) in Jinja2 that allows Remote Command Execution on the server host. Attackers can run any system command without any restriction and they could use a reverse shell. The impact is critical as the attacker can completely takeover the server machine. This can be reduced if changedetection is behind a login page, but this isn't required by the application (not by default and not enforced).
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
ChangeDetection.io 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
changedetection.io是dgtlmoon个人开发者的一个网站变更检测、监控和通知应用程序。 ChangeDetection.io 21.045之前版本存在安全漏洞,该漏洞源于使用 Jinja2 的不安全功能而导致服务器端模板注入,允许在服务器主机上执行远程命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-32651 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | changedetection rce though ssti | https://github.com/zcrosman/cve-2024-32651 | POC详情 |
| 2 | Server-Side Template Injection Exploit | https://github.com/s0ck3t-s3c/CVE-2024-32651-changedetection-RCE | POC详情 |
| 3 | A Server Side Template Injection in changedetection.io caused by usage of unsafe functions of Jinja2 allows Remote Command Execution on the server host. | https://github.com/projectdiscovery/nuclei-templates/blob/main/passive/cves/2024/CVE-2024-32651.yaml | POC详情 |
| 4 | A Server Side Template Injection in changedetection.io caused by usage of unsafe functions of Jinja2 allows Remote Command Execution on the server host. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-32651.yaml | POC详情 |
三、漏洞 CVE-2024-32651 的情报信息
- https://blog.hacktivesecurity.com/index.php/2024/05/08/cve-2024-32651-server-side-template-injection-changedetection-io/
- https://github.com/dgtlmoon/changedetection.io/releases/tag/0.45.21 x_refsource_MISC
-
标题: Server Side Template Injection with Jinja2 for you now -- 🔗来源链接
标签: x_refsource_MISC
- https://github.com/dgtlmoon/changedetection.io/security/advisories/GHSA-4r7v-whpg-8rx3 x_refsource_CONFIRM
- https://nvd.nist.gov/vuln/detail/CVE-2024-32651
四、漏洞 CVE-2024-32651 的评论
暂无评论