任意文件写入导致远程代码执行(讲师账户)(CVE-2024-51743)
CVE编号
CVE-2024-51743
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-19
漏洞描述
MarkUs是一个用于提交和评估学生作业的Web应用程序。在低于2.4.8的版本中,控制器中的更新/上传/创建文件方法存在任意文件写入漏洞,允许经过身份验证的教师将任意文件写入MarkUs运行的Web服务器上的任何位置(取决于底层文件系统的权限)。例如,如果攻击者能够将Ruby文件写入Ruby on Rails应用程序的config/initializers/子文件夹中,这可能会导致延迟的远程代码执行。MarkUs v2.4.8已经解决了这个问题。除升级外,应用程序层面没有已知的解决方法。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论