Drupal Core 8 PECL YAML反序列化远程代码执行漏洞（CVE-2017-6920） | Brown 博客

type

status

date

slug

summary

tags

category

icon

password

Drupal Core 8 PECL YAML反序列化远程代码执行漏洞（CVE-2017-6920）

Drupal是一个使用PHP编写的免费开源的Web内容管理框架。

在使用PECL YAML解析器的Drupal 8.x至8.3.4版本中存在远程代码执行漏洞。该漏洞是由于YAML内容的不安全反序列化导致的，允许攻击者执行任意代码。

漏洞环境

环境启动后，访问http://your-ip:80/将会看到Drupal的安装页面。按照默认配置完成安装步骤。由于环境中没有MySQL，可以选择SQLite作为数据库。

漏洞复现

安装完成后访问http://130.54.0.3/admin/config/development/configuration/single/import

notion image

选择Simple configuration 并在下方写入poc

notion image

点击import 即可看到漏洞触发

notion image

作者:brown
链接:https://bbrownn.dpdns.org//article/CVE-2017-6920
声明:本文采用 CC BY-NC-SA 4.0 许可协议，转载请注明出处。

相关文章

Kioptrix Level 2入门级详细教程

Lazy loaded image

Kioptrix Level 1 古老的 Apache&KVM1靶场练习

Lazy loaded image

OpenPrinting Cups-Browsed PDD FoomaticRIPCommandLine 参数导致远程命令执行漏洞（CVE-2024-47177）

Lazy loaded image

Couchdb 任意命令执行漏洞（CVE-2017-12636）

Lazy loaded image

Apache CXF Aegis DataBinding 服务端请求伪造漏洞 (CVE-2024-28752)

Lazy loaded image

Adminer远程文件读取（CVE-2021-43008）

Lazy loaded image

xdbg某软件逆向实战&无壳入门逆向实战 OpenPrinting Cups-Browsed PDD FoomaticRIPCommandLine 参数导致远程命令执行漏洞（CVE-2024-47177）

Loading...

目录

0%

brown

一个普通的干饭人🍚

最新发布

VMP强壳脱壳&VMP3.8.4入门脱壳教程

xdbg最新实战&软件逆向&新手入门实战&软件破解&无壳

Kioptrix Level 2入门级详细教程

Kioptrix Level 1 古老的 Apache&KVM1靶场练习

XH补丁制作工具的使用&入门级补丁的使用

公告

🎉欢迎光临我的个人博客！🎉

-- 感谢您的支持 ---

👏您的建议对我万分宝贵👏

目录

0%