一、 漏洞 CVE-2024-8517 基础信息
漏洞信息
# SPIP Bigup 多部分文件上传 OS 命令注入
## 概述
SPIP 在 4.3.2 之前、4.2.16 之前 和 4.1.18 之前的版本存在命令注入漏洞。远程且未认证的攻击者可以通过发送精心制作的多部分文件上传 HTTP 请求来执行任意操作系统命令。
## 影响版本
- SPIP 4.3.2 之前的版本
- SPIP 4.2.16 之前的版本
- SPIP 4.1.18 之前的版本
## 细节
攻击者可以利用这个漏洞通过多部分文件上传 HTTP 请求注入并执行任意操作系统命令。漏洞使得网站易受攻击,可能导致敏感信息泄露、系统被控制等严重后果。
## 影响
- 允许未认证攻击者执行任意操作系统命令
- 可能导致系统的完全控制
- 敏感数据泄露的风险增加
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2024-8517 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | SPIP BigUp Plugin Unauthenticated RCE | https://github.com/Chocapikk/CVE-2024-8517 | POC详情 |
| 2 | SPIP before 4.3.2, 4.2.16, and 4.1.18 is vulnerable to a command injection issue. A remote and unauthenticated attacker can execute arbitrary operating system commands by sending a crafted multipart file upload HTTP request. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-8517.yaml | POC详情 |
三、漏洞 CVE-2024-8517 的情报信息
-
标题: Spip Preauth RCE 2024: Part 2, A Big Upload • Think Love Share -- 🔗来源链接
标签: exploit technical-description
-
标题: Mise à jour critique de sécurité : sortie de SPIP 4.3.2, SPIP 4.2.16, SPIP (…) - SPIP Blog -- 🔗来源链接
标签: vendor-advisory
-
标题: SPIP Bigup Multipart File Upload Command Injeciton | VulnCheck Advisories -- 🔗来源链接
标签: third-party-advisory
神龙速读
-
标题: Vozec's Blog - Spip Preauth RCE 2024, my First CVE ! -- 🔗来源链接
标签: exploit technical-description
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-8517