关键信息 漏洞概述 漏洞类型: PHP 命令注入漏洞 受影响版本: - : <=10.0.6 - : <=10.0.6 修复版本: - : 11.0.3 - : 11.0.0 漏洞详情 漏洞位置: 文件中的 函数。 问题描述: 当前实现仅依赖于 和 函数来验证 URL,这不足以防止所有 Bash 特殊字符用于命令注入。 影响资源 PoC (概念验证) 1. 启动一个 Web 服务器。 2. 发起对 端点的请求。 3. 在 BurpSuite 中捕获并修改请求。 4. 观察来自服务器的 HTTP 请求中的命令输出。 命令注入载荷 影响 认证攻击者可以构造一个绕过 和 验证检查的 URL,以执行任意 OS 命令。 攻击者可以通过 HTTP 请求从后端服务器中提取命令输出。