Form-Tools-3.1.1 SSTI服务器端模板注入漏洞(CVE-2024–22722)
💡
原文中文,约2800字,阅读约需7分钟。
📝
内容提要
Form Tools 是一个开源的 PHP/MySQL 脚本,存在服务器端模板注入漏洞(SSTI),攻击者可通过表单执行任意命令。该漏洞影响版本为 3.1.1,需在特定环境下复现。
🎯
关键要点
- Form Tools 是一个开源的 PHP/MySQL 脚本,用于管理表单和数据。
- 版本 3.1.1 存在服务器端模板注入漏洞(SSTI),攻击者可通过表单执行任意命令。
- 复现漏洞需要在特定环境下进行,包括使用 Windows Server 2019 虚拟机。
- 漏洞复现步骤包括添加表格并输入特定的模板代码以执行计算。
- 该漏洞可能影响 Linux 系统,建议在 Linux 上重新搭建环境进行测试。
- 提供了一个 Python 脚本示例,用于利用该漏洞执行命令。
❓
延伸问答
Form Tools 3.1.1 的服务器端模板注入漏洞是什么?
这是一个允许攻击者通过表单执行任意命令的漏洞,影响版本为 3.1.1。
如何复现 Form Tools 3.1.1 的漏洞?
需要在特定环境下,如 Windows Server 2019 虚拟机中,添加表格并输入特定模板代码进行测试。
该漏洞对 Linux 系统有影响吗?
是的,该漏洞可能影响 Linux 系统,建议在 Linux 上重新搭建环境进行测试。
利用该漏洞可以执行什么类型的命令?
攻击者可以通过模板注入执行任意命令,例如计算表达式。
有没有提供利用该漏洞的示例代码?
是的,提供了一个 Python 脚本示例,用于利用该漏洞执行命令。
Form Tools 是什么?
Form Tools 是一个开源的 PHP/MySQL 脚本,用于管理表单和数据。
➡️
