漏洞信息概要 漏洞类型: 命令执行漏洞 (Command Execution Vulnerability) 受影响产品: Morfy CMS v1.05 CVE-ID: CVE-2014-9185 披露日期: 2014-12-10 CVSS 评分: 6.2 SE核实编号 (VL-ID): 1367 漏洞描述 在此版本的Morfy CMS (v1.05) 中存在命令执行漏洞,该漏洞允许远程攻击者在无需特权用户帐户或用户交互的情况下,通过注入恶意请求来执行系统特定命令,从而危及在线 Web 应用程序或相关联的数据库。 漏洞所在位置 易受攻击模块: Install 模块 ( ) 易受攻击文件: 易受攻击参数: 技术细节 利用方法: POST 利用情况: 攻击者通过在 参数中注入恶意代码(如 )并通过 和 变量传递,可以成功执行命令,导致Web应用程序内容管理系统被攻破。 解决和缓解措施 在 文件中对请求的 值添加安全限制,对易受攻击的 进行编码和解析,并在安装模块 ( ) 的添加输入字段中解决。限制输入字段并禁止特殊字符,以防止执行特定系统的命令。 ``` 原始参考文献 http://www.vulnerability-lab.com/get_content.php?id=1367 https://github.com/Awilum/monstra-cms/issues/351 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9185 安全风险和作者 安全风险: 高 (CVSS 6.2) 作者: Paulo Yibelo [独立漏洞研究者] 其他信息 文档包含免责声明、联系信息等范畴,但对漏洞和修复的具体内容无直陈价值。