源码地址:https://github.com/Studio-42/elFinder/releases/tag/2.1.58 得知是通过存档功能,传递name参数造成命令注入,然后进行抓包 可以看出是在connector.minimal.php文件中进行操作 在connector.minimal.php文件中发现,包含文件autoload.php 在autoload.php中,不确定在那个文件,不过通过名字大概率可以在elFinder...
CVE-2021-32682 是一个被发现的命令注入漏洞,它影响了使用 elFinder 文件管理器的应用程序。elFinder 是一个开源的 AJAX 文件管理器,广泛用于基于 Web 的文件共享和文件管理。这个漏洞允许攻击者通过构造特定的请求,向服务器注入并执行恶意命令,从而完全控制受影响的服务器。 CVE-2021-32682 与 elFinder 的关系 CV...
在elFinder 2.1.48及以前的版本中,存在一处参数注入漏洞。攻击者可以利用这个漏洞在目标服务器上执行任意命令,即使是最小化安装的elFinder。 这个漏洞的原因除了参数注入外,还有默认情况下的未授权访问,因此我们可以对elFinder增加权限校验,避免任意用户操作服务器上的文件,进而避免被执行任意命令。当然,升级版本到2.1....
源码地址: https://github.com/Studio-42/elFinder/releases/tag/2.1.58 得知是通过存档功能,传递name参数造成命令注入,然后进行抓包 可以看出是在connector.minimal.php文件中进行操作 在connector.minimal.php文件中发现,包含文件autoload.php 在autoload.php中,不确定在那个文件,不过通过名字大概率可以在elFinderVolume...
elFinder 是一个开源的 web 文件管理器,使用 jQuery UI 用 JavaScript 编写。Creation 的灵感来自于 Mac OS X 操作系统中使用的 Finder 程序的简单性和便利性。 漏洞描述 该漏洞源于,在创建新的zip存档时,没有对name参数进行严格的过滤,导致参数被带入prox_open中执行,造成命令注入 影响版本 elFinder ...
Secure your Linux systems from SUSE CVE Database. Stay ahead of potential threats with the latest security updates from SUSE.
Secure your Linux systems from SUSE CVE Database. Stay ahead of potential threats with the latest security updates from SUSE.