漏洞关键信息 漏洞概要 漏洞名称: SkyBlueCanvas CMS 远程命令注入漏洞 漏洞类型: 远程命令注入 影响版本 受影响版本: 1.1 r248-03 及之前版本 发现者 发现者: Scott Parish 机构: Center for Internet Security 漏洞详情 详细描述: 在 SkyBlueCanvas CMS 轻量级内容管理系统中,Contact 页面的表单存在远程命令注入漏洞。未经身份验证的远程用户可以通过注入特定的 POST 参数来执行命令,这些参数包括 "name", "email", "subject", 和 "message"。 利用方法: 通过注入以下 payload 到易受害参数:“A”; ”进行攻击。由于页面不显示注入命令的结果,需使用 ping、nc 或类似命令进行测试。 漏洞证实代码 缓解措施 修复版本: 1.1 r248-04 修订历史 2014-01-09: 发现漏洞 2014-01-10: 私下向厂商披露漏洞 2014-01-22: 厂商发布补丁 2014-01-23: 公开披露漏洞