一、 漏洞 CVE-2024-56908 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在 Perfex Crm 版本小于 3.2.1 的情况下,认证的攻击者可以通过发送一个精心构造的 HTTP POST 请求到受影响的 upload_sales_file 接口。通过在 rel_id 参数中提供恶意输入,并结合不当的输入验证,攻击者可以绕过限制,将任意文件上传到任意目录,可能导致远程代码执行或服务器被攻陷。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
输入验证不恰当
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Perfex Crm < 3.2.1, an authenticated attacker can send a crafted HTTP POST request to the affected upload_sales_file endpoint. By providing malicious input in the rel_id parameter, combined with improper input validation, the attacker can bypass restrictions and upload arbitrary files to directories of their choice, potentially leading to remote code execution or server compromise.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2024-56908 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-56908 的情报信息
-
标题: CVE-2024-56908.md · GitHub -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-56908