Zeroshell http參數命令注入漏洞安全通告

發布時間 2019-07-29

◆ 漏洞編號和級別


CVE編號:CVE-2019-12725,危險級別:嚴重,CVSS分值:9.8


◆ 影響版本


受影響的版本


Zeroshell 3.9.0


◆ 漏洞概述


Zeroshell是一套面向服務器和嵌入式系統的Linux發行版。Zeroshell 3.9.0版本中存在安全漏洞,該漏洞源于程序沒有正確處理HTTP參數。攻擊者可通過注入操作系統命令利用該漏洞執行命令。


◆ 漏洞驗證


POC:https://www.tarlogic.com/advisories/zeroshell-rce-root.txt。


◆ 修復建議


目前廠商暫未發布修復措施解決此安全問題,建議使用此軟件的用戶隨時關注廠商主頁或參考網址以獲取解決辦法:https://zeroshell.org/ 。


◆ 參考鏈接


https://www.tarlogic.com/advisories/zeroshell-rce-root.txt