正文

Metasploit secret_key_base反序列化漏洞(CNVD-2016-07829)

admin
admin V管理员 /0 评论 /7 阅读
0418
此篇文章发布距今已超过1105天,您需要注意文章的内容或图片是否可用!

CVE编号

N/A

利用情况

暂无

补丁情况

N/A

披露时间

2016-09-21
漏洞描述
Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。 Metasploit secret_key_base存在反序列化漏洞。由于Metasploit Community,Express和Pro版本,WEB UI的secret_key_base值是固定已知的, 而且Metasploit的config.action_dispatch.cookies_serializer的值默认又为:hybrid,这导致攻击者可以远程非认证的构造cookies,实现反序列化任意Marshall对象,以daemon用户权限在装有Metasploit的机器上执行任意命令。
解决建议
用户可参考如下供应商提供的安全公告获得补丁信息:
https://community.rapid7.com/community/metasploit/blog/2016/09/15/important-security-fixes-in-metasploit-4120-2016091401
参考链接
https://www.cnvd.org.cn/flaw/show/CNVD-2016-07829
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A CWE-ID 漏洞类型