一、 漏洞 CVE-2025-34030 基础信息
漏洞信息
# sar2html OS命令注入漏洞
## 漏洞概述
sar2html版本3.2.2及之前存在OS命令注入漏洞。攻击者可通过在`plot`参数中附加自定义命令实现远程未认证攻击,最终导致任意命令执行。
## 影响版本
- sar2html 3.2.2及之前版本
## 漏洞细节
漏洞出现在`index.php`文件中的`plot`参数。应用程序未对用户输入进行适当的清理,直接在系统级别上下文中使用用户提供的输入。攻击者可以通过修改`plot`参数(例如, `?plot=;id`)构造一个GET请求注入shell命令。命令的输出会显示在应用程序界面中,与主机选择UI交互之后。
## 漏洞影响
成功利用此漏洞可导致攻击者在目标系统上执行任意命令,从而可能获得系统控制权。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞存在于sar2html版本3.2.2及之前版本中,通过index.php的plot参数可以实现OS命令注入。应用程序在使用用户提供的输入之前没有进行适当的清理或验证,远程未经身份验证的攻击者可以通过构造的GET请求(例如:?plot=;id)注入shell命令。成功利用此漏洞可导致在底层系统上执行任意命令。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
sar2html OS Command Injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An OS command injection vulnerability exists in sar2html version 3.2.2 and prior via the plot parameter in index.php. The application fails to sanitize user-supplied input before using it in a system-level context. Remote, unauthenticated attackers can inject shell commands by appending them to the plot parameter (e.g., ?plot=;id) in a crafted GET request. The output of the command is displayed in the application's interface after interacting with the host selection UI. Successful exploitation leads to arbitrary command execution on the underlying system.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
sar2html 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
sar2html是cemtan个人开发者的一个图标生成软件。 sar2html 3.2.2及之前版本存在安全漏洞,该漏洞源于未清理plot参数,可能导致OS命令注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-34030 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | PoC for CVE-2025-34030 sar2html 'plot' parameter RCE | https://github.com/HackerTyperAbuser/CVE-2025-34030-PoC | POC详情 |
三、漏洞 CVE-2025-34030 的情报信息
-
标题: GitHub - cemtan/sar2html: sar2html is the plotting tool for system statistics (sar data). -- 🔗来源链接
标签: product
神龙速读
-
-
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-34030
四、漏洞 CVE-2025-34030 的评论
暂无评论