从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:Arbitrary File Write leading up to remote code execution (from instructor accounts) 2. 发布者:donny-wong 3. CVE编号:CVE-2024-51743 4. 严重性:High 5. 受影响版本:< v2.4.8 6. 已修复版本:v2.4.8 和以上 7. 描述: - Arbitrary File Write leading up to RCE in AutomatedTestsController (GHSL-2024-062) - Arbitrary File Write leading up to RCE in StarterFileGroupsController (GHSL-2024-063) - Arbitrary File Write leading up to RCE in StarterFileGroupsController API (GHSL-2024-064) 8. 影响: - 允许认证的讲师通过在控制器的 update/upload/create file 方法中写入任意文件,从而在 web 服务器上运行的 MarkUs 应用程序上执行任意代码。 - 这可能导致延迟的远程代码执行,如果攻击者能够将 Ruby 文件写入到 Ruby on Rails 应用程序的 config/initializers/ 子目录中。 9. 补丁: - MarkUs v2.4.8 已修复此问题。 10. 工作绕过: - 应用程序层面的最佳方式是升级。 11. 参考资料: - #7026