Froxlor SQL注入漏洞(CVE-2021-42325)
VSole2021-11-30 18:02:14
0x01 漏洞描述
Froxlor是一款由德国人开发的支持nginx,apache,lighttpd的web控制面板,具有切换中文,管理方便等特点。
Froxlor v0.10.28、v0.10.29、v0.10.29.1版本在设置创建数据库时指定数据库名称的情况下,存在SQL注入漏洞,拥有customer权限的攻击者可以通过漏洞创建Froxlor管理员帐户升级权限,并使用该帐户在目标计算机上以root用户身份远程执行代码。
0x02 危害等级
严重:9.8
0x03 漏洞复现
2021年11月30日,360漏洞云安全专家已复现上述漏洞,演示如下:
CVE-2021-42325
完整POC代码已在360漏洞云情报平台(https://loudongyun.360.cn/)发布,360漏洞云情报平台用户可通过平台下载进行安全自检。
0x04 影响版本
Froxlor
=0.10.28
=0.10.29
=0.10.29.1
0x05 修复建议
厂商已发布升级修复漏洞,用户请尽快更新至安全版本:0.10.30版本。
下载地址:
https://froxlor.org/
与此同时,360漏洞云提醒您请做好资产自查以及预防工作,以免遭受黑客攻击。
VSole
网络安全专家