※勉強目的のみ。悪用厳禁。
修正前
調査
「/vpns/」ディレクトリには閲覧権限が無い。

「/vpns/」下のファイルを指定すると閲覧可能。

特定のヘッダを追加するとレイアウトが変わる。

RCE実行
アップロード(一部非公開)

実行

RCE時に認証がいらない
ログイン時にCookie「SESSID」を発行。

Cookieが無いとログイン画面に戻される。

Cookieがなくともアップロード可能。

Cookieがなくとも実行可能。

修正後
「/vpns/」アクセス時の挙動が異なる。

「/vpns/」下のファイルも見れない。

対策
バージョンアップ。
感想
初めて検証したRCEのCVE。
認証なしで難易度も低い、驚いたCVE。
コメント