根据提供的截图内容,关于CVE-2023-23596漏洞的关键信息可以归纳如下: 漏洞编号: CVE-2023-23596 漏洞类型: OS Command Injection 受影响的软件: Nginx Proxy Manager 影响版本: 版本小于等于2.9.19 漏洞描述: 在创建访问列表时,由于对用户名和密码输入没有进行验证,直接拼接到 命令执行,导致可以注入恶意命令。 漏洞细节: - 源码位置: - 关键代码: 上述代码中, 和 直接拼接到 命令执行,缺少验证,导致命令注入漏洞。 概念验证(POC): 其中, 内容如下: 此 通过在密码字段注入命令 ,当请求发送后,服务器会执行恶意命令,创建名为 的空文件。 漏洞影响: 攻击者可通过注入任意命令到 命令中,在服务器上执行任意命令。 时间线: - 2022年5月20日: 通过huntr.dev平台报告漏洞 - 2022年5月21日: huntr团队提交公开问题以请求联系安全团队 - 2022年9月17日: 报告搁置 - 2023年1月14日: 请求CVE编号 - 2023年1月15日: 分配CVE-2023-23596 - 2023年1月20日: 公布公告 参考链接: - - CWE-78 - CVE-2023