从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞编号:CVE-2024-42902 - 受影响软件:LimeSurvey <= v6.6.2 - 问题描述:Kcfinder文件管理器在设置用户语言时,未对'lng'查询字符串参数进行适当清理,允许攻击者指定任意文件进行包含和执行,导致本地文件包含漏洞。 2. PoC(Proof of Concept): - 步骤: 1. 在php文件中添加 行。 2. 发送GET请求到 URI,指定要包含的文件路径作为payload。 - 示例: - 发送请求的URL: - 使用Burp Suite进行DNS劫持测试。 3. 参考链接: - CVE详细信息:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-42902 - LimeSurvey源代码:https://github.com/LimeSurvey/LimeSurvey/blob/6434b12ded1c4b6516200c453441d0896e11eee0/vendor/kcfinder/js_localize.php#L26 这些信息可以帮助理解漏洞的性质、如何利用以及相关的参考资源。