正文

服务端请求伪造漏洞

admin
admin V管理员 /0 评论 /18 阅读
0423
此篇文章发布距今已超过1149天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2018-15895

利用情况

暂无

补丁情况

N/A

披露时间

2018-08-27
漏洞描述
在idreamsoft iCMS 7.0.11中发现了一个SSRF漏洞,因为app/spider/spider_tools.class.php中的远程功能不会阻止与私有IP和保留IP地址关联的DNS主机名,如A记录中的127.0.0.1所示。注意:此漏洞存在是因为CVE-2018-14858的修复不完整。
解决建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/idreamsoft/iCMS/commit/59ad0f303bf900f552f737b63c6fa8d92c1403d7
参考链接
https://github.com/idreamsoft/iCMS/issues/40
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 icmsdev icms * Up to
(excluding)
7.0.11
CVSS3评分 7.5
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 无
  • 保密性 高
  • 完整性 无
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CWE-ID 漏洞类型 CWE-918 服务端请求伪造(SSRF)