正文

Lucee Admin 远程代码执行漏洞(CVE-2021-21307)

admin
admin V管理员 /0 评论 /18 阅读
0422
此篇文章发布距今已超过1155天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2021-21307

利用情况

漏洞武器化

补丁情况

官方补丁

披露时间

2021-02-12
漏洞描述
lucee服务器(简称lucee)是一种动态的、基于java的标记和脚本语言,用于快速的web应用程序开发。其旧版本某些文件存在未授权访问,攻击者可构造恶意请求造成远程代码执行。
解决建议
升级至最新版本。
参考链接
http://ciacfug.org/blog/updating-lucee-as-part-of-a-vulnerability-alert-response
http://packetstormsecurity.com/files/163864/Lucee-Administrator-imgProcess.cf...
https://dev.lucee.org/t/lucee-vulnerability-alert-november-2020/7643
https://github.com/httpvoid/writeups/blob/main/Apple-RCE.md
https://github.com/lucee/Lucee/commit/6208ab7c44c61d26c79e0b0af10382899f57e1ca
https://github.com/lucee/Lucee/security/advisories/GHSA-2xvv-723c-8p7r
https://portswigger.net/daily-swig/security-researchers-earn-50k-after-exposi...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 lucee lucee_server * From
(including)
5.3.5.00 		Up to
(excluding)
5.3.5.96
运行在以下环境
应用 lucee lucee_server * From
(including)
5.3.6.00 		Up to
(excluding)
5.3.6.68
运行在以下环境
应用 lucee lucee_server * From
(including)
5.3.7.00 		Up to
(excluding)
5.3.7.47
阿里云评分 10.0
  • 攻击路径 远程
  • 攻击复杂度 容易
  • 权限要求 无需权限
  • 影响范围 全局影响
  • EXP成熟度 漏洞武器化
  • 补丁情况 官方补丁
  • 数据保密性 数据泄露
  • 数据完整性 传输被破坏
  • 服务器危害 服务器失陷
  • 全网数量 1000
CWE-ID 漏洞类型 CWE-862 授权机制缺失