漏洞总结

ImageMagick远程命令执行漏洞

ImageMagick一款流行的图像处理软件,支持多种编程语言,包括Perl、C++、PHP、Python和Ruby等。ImageMagick存在一个远程命令执行漏洞(CVE-2016-3714、CNNVD-201605-101),当用户访问并处理精心构造的恶意图片时,可能导致远程命令执行。该漏洞可影响网站、博客、社交媒体平台和内容管理系统(CMS) ,例如WordPress和Drupal。
漏洞版本:未补丁版本ImageMagick-6.9.1-10
漏洞成因:处理https请求的delegates命令为:curl -s -k -L -o "%o" "https:%M",%M为请求的URL链接。由于程序在处理%M参数时,未对URL进行充分过滤,可能导致了shell命令执行。例如构造如下URL:
'https://example.com"|ls "-la'
即可导致shell命令"ls -la"被执行:


你可能感兴趣的:(漏洞总结)