关联漏洞
标题:Eve 安全漏洞 (CVE-2018-8097)Description:Eve(pyeve)是一个基于Python的开源REST API框架。 Eve 0.7.5之前版本中的io/mongo/parser.py文件存在安全漏洞。远程攻击者可借助‘where’参数利用该漏洞执行任意代码。
Description
CVE-2018-8097 PoC
介绍
# CVE-2018-8097 PoC
This is a simple python Proof of Concept script demonstrating the CVE-2018-8097, affecting the PyEve library for versions < 0.7.5
## Usage
```txt
usage: cve_2018_8097.py [-h] -u URL -c COMMAND
options:
-h, --help show this help message and exit
-u URL, --url URL Target URL (where you can use the 'where' filter), e.g. http://example.com/people
-c COMMAND, --command COMMAND
System command to execute (shouldn't contain quotes)
```
## Resources
- https://www.cvedetails.com/cve/CVE-2018-8097/
- https://github.com/pyeve/eve/issues/1101
- https://github.com/pyeve/eve/commit/f8f7019ffdf9b4e05faf95e1f04e204aa4c91f98
文件快照
[4.0K] /data/pocs/1f5519406960a9d8198de9b835373248d4386b8e
├── [1004] cve_2018_8097.py
└── [ 685] README.md
0 directories, 2 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。