Form Tools 3.1.1 SSTI 服务器端模板注入漏洞 (CVE-2024–22722)
💡
原文英文,约300词,阅读约需1分钟。
📝
内容提要
Form Tools 是一个开源的 PHP/MySQL 脚本,存在服务器端模板注入漏洞(SSTI),攻击者可通过表单执行任意命令。该漏洞影响版本为 3.1.1,需在特定环境下复现。
🎯
关键要点
- Form Tools 是一个开源的 PHP/MySQL 脚本,用于管理表单和数据。
- 版本 3.1.1 存在服务器端模板注入漏洞(SSTI),攻击者可通过表单执行任意命令。
- 复现漏洞需要在特定环境下进行,包括使用 Windows Server 2019 虚拟机。
- 漏洞复现步骤包括添加表格并输入特定的模板代码以执行计算。
- 该漏洞可能影响 Linux 系统,建议在 Linux 上重新搭建环境进行测试。
- 提供了一个 Python 脚本示例,用于利用该漏洞执行命令。
➡️
