【网络安全】漏洞挖掘之CVE-2019-9670+检测工具

未经许可,不得转载。

文章目录

    • 漏洞介绍
    • 正文
    • 工具

漏洞介绍

CVE-2019-9670 是一个与 Zimbra Collaboration Suite (ZCS) 相关的严重漏洞。ZCS 中的 AutoDiscover 服务存在不正确的 XML 解析处理,该漏洞可被利用来注入恶意 XML 代码(例如外部实体注入(XXE)攻击),从而导致服务器任意文件读取或远程代码执行 (RCE)。

  • Zimbra < 8.7.11 版本中,攻击者可以在无需登录的情况下,实现远程代码执行。

  • Zimbra < 8.8.11 版本中,在服务端使用 Memcached 做缓存的情况下,经过登录认证后的攻击者可以实现远程代码执行。

正文

目标:example.com

请求包中添加如下POC:


]>
 

你可能感兴趣的:(网络安全,web安全,漏洞挖掘,CVE)