漏洞概述 漏洞名称: CVE-2020-8450 描述: 在HTTP-Daemon 6.17版本中,存在一个远程代码执行(RCE)漏洞。该漏洞允许攻击者通过构造特定的请求,利用 函数中的 函数执行任意文件写入或响应体注入。 影响范围 受影响版本: HTTP-Daemon 6.17及更早版本 具体影响: 攻击者可以通过构造包含特殊字符的请求,触发 函数中的 函数,从而执行任意文件写入或响应体注入。 修复方案 修复版本: HTTP-Daemon 6.18 修复措施: - 在 函数中,对路径参数进行严格检查,确保路径始终以字面量形式处理,避免被解释为命令。 - 对 函数的返回值进行检查,如果返回0(表示成功),则调用 (零字节传输)以防止潜在的安全问题。 - 参考链接: https://cwe.mitre.org/data/definitions/78.html POC代码 以上总结涵盖了漏洞概述、影响范围、修复方案以及POC代码。