关联漏洞
标题:OpenTSDB 操作系统命令注入漏洞 (CVE-2020-35476)Description:OpenTSDB是一套开源的、可扩展的分布式时间序列数据库。 OpenTSDB through 2.4.0版本存在操作系统命令注入漏洞,该漏洞源于远程代码执行漏洞通过yrange参数中的命令注入,yrange值被写入tmp目录中的gnuplot文件中。然后通过mygnupload .sh shell脚本执行该文件。
Description
A remote code execution vulnerability occurs in OpenTSDB through 2.4.0 via command injection in the yrange parameter.
介绍
# CVE-2020-35476
A remote code execution vulnerability occurs in OpenTSDB through 2.4.0 via command injection in the yrange parameter.
Not finished and doesn't work. Most of the code is there but payload has to be fixed.
文件快照
[4.0K] /data/pocs/f6a0388f5f77cb19fa21e963455037aaa7a8ad9c
├── [3.0K] exploit.py
├── [1.0K] LICENSE
└── [ 223] README.md
0 directories, 3 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。