关键信息总结 漏洞概述 漏洞名称: Merethis Centreon Multiple Vulnerabilities 风险等级: Medium 影响版本: 2.3.1 and prior 主要发现 1. 远程命令执行 (Remote Command Execution) - 可以通过特定的URL执行任意命令,例如查看 文件。 - 示例URL: 2. 无盐单向哈希 (One-Way Hash Without a Salt) - 数据库中使用MD5或SHA1哈希存储密码,但没有使用盐。 - 这使得攻击者可以轻松破解密码。 - 在 函数中发现的代码示例: 利用方式 通过组合远程命令执行和无盐哈希,可以恢复所有账户的密码。 示例PHP代码可转为十六进制并利用远程命令执行方法上传到服务器。 修复建议 升级到版本2.3.2以修复这些漏洞。 参考链接 Trustwave SpiderLabs Security Advisory TWSL2011-017