漏洞概述
这个漏洞是CVE-2018-7600的绕过利用,两个漏洞原理是一样的。攻击者可以通过不同方式利用该漏洞远程执行代码。CVE-2018-7602这个漏洞是CVE-2018-7600的另一个利用点,只是入口方式不一样。所以,一旦参数可控并且没有经过正确的过滤,就很有可能出问题。
影响版本
Drupal < 7.58 Drupal < 8.3.9 Drupal < 8.4.6 Drupal < 8.5.1
复现过程
http://10.95.14.161:64829/node
账号密码admin/123456
python drupa7-CVE-2018-7602.py -c "ls -1 /tmp" admin 123456 http://10.95.14.161:9434/
若有收获,就点个赞吧