漏洞总结
ImageMagick远程命令执行漏洞
【漏洞总结】ImageMagick一款流行的图像处理软件,支持多种编程语言,包括Perl、C++、PHP、Python和Ruby等。ImageMagick存在一个远程命令执行漏洞(CVE-2016-3714、CNNVD-201605-101),当用户访问并处理精心构造的恶意图片时,可能导致远程命令执行。该漏洞可影响网站、博客、社交媒体平台和内容管理系统(CMS) ,例如WordPress和Drupal。
漏洞版本:未补丁版本ImageMagick-6.9.1-10
漏洞成因:处理https请求的delegates命令为:curl -s -k -L -o "%o" "https:%M",%M为请求的URL链接。由于程序在处理%M参数时,未对URL进行充分过滤,可能导致了shell命令执行。例如构造如下URL:
'https://example.com"|ls "-la'
即可导致shell命令"ls -la"被执行:
推荐阅读
- CVE-2020-16898|CVE-2020-16898 TCP/IP远程代码执行漏洞
- 7.9号工作总结~司硕
- 难道你仅会钻规则的漏洞吗()
- 最有效的时间管理工具(赢效率手册和总结笔记)
- 数据库总结语句
- 周总结|周总结 感悟
- 周总结43
- 参加【21天写作挑战赛】,第七期第14天,挑战感受小总结
- 第二阶段day1总结
- 新梦想91期特训班两天一晚学习感想及总结(学生(魏森林))