关键信息总结 漏洞概述 漏洞名称: Calibre Web 0.6.24 - Blind Command Injection CVE编号: CVE-2021-39585 CVSS评分: 7.5 (高危) 发现日期: 2021-08-25 影响版本: 0.6.24及之前版本 修复版本: 未提供 漏洞描述 Calibre Web 0.6.24版本中存在盲命令注入漏洞,攻击者可以通过构造恶意请求在目标系统上执行任意命令。 漏洞细节 漏洞类型: 盲命令注入 影响范围: 攻击者可以利用该漏洞在受影响的系统上执行任意命令,可能导致系统被完全控制。 利用条件: 攻击者需要能够发送特定的HTTP请求到受影响的Calibre Web服务器。 POC (概念验证代码) POC代码展示了如何通过构造特定的HTTP请求来触发命令注入漏洞,并执行任意命令。代码中包含了对目标系统的请求构造和响应处理逻辑。 利用证据 截图展示: 提供了利用漏洞成功执行命令的截图,显示了命令执行的结果。 视频链接: 提供了利用漏洞过程的视频链接,详细演示了漏洞的利用步骤。 系统信息 操作系统: Ubuntu 20.04 LTS 中间件: Nginx 1.18.0, uWSGI 2.0.19.1 参考资料 相关链接: 提供了与该漏洞相关的其他参考资料和链接。 缓解措施 建议升级: 建议用户尽快升级到最新版本的Calibre Web,以修复该漏洞。 安全策略: 强调了Fluid Attacks的安全策略和报告流程。 致谢 发现者: Adam Caudill ``` 这些关键信息可以帮助安全团队快速了解漏洞的严重性、影响范围以及如何进行防护。