MarkUs 任意文件写入导致远程代码执行(学生账户)(CVE-2024-51499)
CVE编号
CVE-2024-51499
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-19
漏洞描述
MarkUs是一个用于提交和评估学生作业的Web应用程序。在版本低于2.4.8的情况下,通过SubmissionsController的update_files方法存在一个任意文件写入漏洞,允许经过身份验证的用户(例如学生)将任意文件写入MarkUs运行的Web服务器上的任何位置(取决于底层文件系统的权限)。例如,如果攻击者能够将Ruby文件写入Ruby on Rails应用程序的config/initializers/子文件夹中,这可能会导致延迟的远程代码执行。MarkUs v2.4.8已经解决了此问题。除了升级之外,应用程序层面没有已知的解决方法。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论