Zoraxy 在 Web SSH 功能中存在经过身份验证的命令注入(CVE-2024-52010)
CVE编号
CVE-2024-52010
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-13
漏洞描述
Zoraxy 是一个通用的 HTTP 反向代理和转发工具。Web SSH 功能中存在命令注入漏洞,允许经过身份验证的攻击者在主机上以 root 权限执行任意命令。Zoraxy 有一个 Web SSH 终端功能,允许经过身份验证的用户从他们的浏览器连接到 SSH 服务器。在 HandleCreateProxySession 中处理创建 SSH 会话的请求。攻击者可以利用用户名变量逃避 bash 命令,并将任意命令注入到 sshCommand 中。这是可能的,因为与主机名和端口不同,用户名没有经过验证或清理。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论