Zeroshell http参数下令注入误差清静通告

宣布时间 2019-07-29

◆ 误差编号和级别


CVE编号:CVE-2019-12725,,,,危险级别:严重,,,,CVSS分值:9.8


◆ 影响版本


受影响的版本


Zeroshell 3.9.0


◆ 误差概述


Zeroshell是一套面向效劳器和嵌入式系统的Linux刊行版。。。。。Zeroshell 3.9.0版本中保存清静误差,,,,该误差源于程序没有准确处置惩罚HTTP参数。。。。。攻击者可通过注入操作系统下令使用该误差执行下令。。。。。


◆ 误差验证


POC:https://www.tarlogic.com/advisories/zeroshell-rce-root.txt。。。。。


◆ 修复建议


现在厂商暂未宣布修复步伐解决此清静问题,,,,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决步伐:https://zeroshell.org/ 。。。。。


◆ 参考链接


https://www.tarlogic.com/advisories/zeroshell-rce-root.txt