​Chamilo 学习管理软件存在命令执行漏洞(CVE-2023-34960)

最新推荐文章于 2024-08-13 10:17:37 发布
最新推荐文章于 2024-08-13 10:17:37 发布
阅读量672 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: 学习 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/131459886
版权
本文详细介绍了Chamilo学习管理软件中存在的命令执行漏洞(CVE-2023-34960),恶意攻击者可通过构造XML文件执行任意命令,影响所有版本。整改建议为升级到最新版或打补丁。同时提供了复现漏洞的fofa查询语句、POC工具和相关安全注意事项。
摘要由CSDN通过智能技术生成

Chamilo 学习管理软件存在命令执行漏洞(CVE-2023-34960)

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. Chamilo 学习管理软件简介

微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发

Chamilo是一款可供用户免费下载的学习管理软件,其目的是提高来自弱势背景的用户对在线课程的可及性。Chamilo由一个名为Chamilo协会的非营利组织运行和管理。

2.漏洞描述

Chamilo是一款可供用户免费下载的学习管理软件,其目的是提高来自弱势背景的用户对在线课程的可及性。Chamilo由一个名为Chamilo协会的非营利组织运行和管理。Chamilo存在命令执行漏洞,恶意攻击者可以通过构造的xml文件任意命令,进而控制服务器。

CVE编号:CVE-2023-34960

CNNVD编号: 

CNVD编号:

3.影响版本

Chamilo

4.fofa查询语句

app="Chamilo"

5.漏洞复现

漏洞链接:https://www.xxx.com/main/webservices/additional_webservices.php 漏洞数据包:

POST /main/webservices/additional_webservices.php HTTP/1.1
Host: www.xxx.com
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Co
了解本专栏 订阅专栏 解锁全文 超级会员免费看
sublime88
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Apache RocketMQ RCE漏洞复现(CVE-2023-33246)
0xSec
06-01 9234
RocketMQ 5.1.0及以下版本,在一定条件下,存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。
chamilo-lms, Chamilo是一个专注于易用性和可访问性的学习管理系统.zip
10-10
chamilo-lms, Chamilo是一个专注于易用性和可访问性的学习管理系统 Chamilo 2.x 安装 安装说明位于这里的文档中: 安装 升级 升级说明位于以下文档中: 升级 从1.x更改 app/Resources
chamilo-lms:Chamilo是一个学习管理系统,专注于易用性和可访问性
02-05
Chamilo 2.x Chamilo是一个电子学习平台,也称为GNU / GPLv3 +下发布的“ LMS”或“ LCMS”。 全球已有或超过2000万人使用了它。 快速安装 Chamilo 2.0仍处于开发阶段。 此安装过程仅供参考。 为了获得稳定的Chamilo,请安装Chamilo1.11.x。 有关详细信息,请参见1.11.x分支README.md。 我们假设您已经安装了“ yarn”和“ composer”,并且正在将门户网站安装在域中,而不是域中的子文件夹中。 # on a fresh Ubuntu, you can prepare your server by issui
Chamilo命令执行漏洞CVE-2023-34960)复现
m0_46317063的博客
06-26 2086
CVE-2023-34960
Chamilo Linux 平台图文安装教程
HONEY MOOSE
12-04 396
Chamilo Linux 平台图文安装教程 - PDF [u]http://www.ossez.com/forum.php?mod=viewthread&tid=113882&fromuid=426[/u]
Chamilo 学习管理软件存在命令执行漏洞CVE-2023-34960
nnn2188185的博客
04-09 1030
Chamilo是一款可供用户免费下载的学习管理软件,其目的是提高来自弱势背景的用户对在线课程的可及性。Chamilo由一个名为Chamilo协会的非营利组织运行和管理。Chamilo存在命令执行漏洞,恶意攻击者可以通过构造的xml文件任意命令,进而控制服务器。
2024 年 5 个 Linux 开源数字化学习平台
m0_68274698的博客
03-22 1650
现代数字化学习平台或 LMS(学习管理系统)以虚拟学习空间为基础,总体而言,旨在简化远程培训体验。因此,鉴于数字化学习的重要性,我们有必要了解一些好的平台。 在本文中,您将简要了解可安装在 Linux 上的 5 种用于数字化学习的开源解决方案。
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响的 NetScaler ADC 和 NetScaler Gateway 客户尽快安装相关的更新版本。 NetScaler ADC 和 ...
chamilo:用于从 Camilo 在线学习平台上的课程下载所有文件的脚本
07-11
查米洛 用于从 Camilo 在线学习平台上的课程下载所有文件的脚本。 在测试了 ,Chamilo平台 。 安装 git clone https://github.com/Astalaseven/chamilo.git cd chamilo && pip install -r requirements.txt 用法 您首先需要编辑您的凭据: USERNAME = 'esi_id' PASSWORD = 'esi_pass' 或进入credentials.ini : [chamilo] username = esi_id password = esi_pass 然后你可以使用它: python chamilo.py 。 更新 只更新课程 图标,使用python chamilo.py update 。 检查文件大小 要检查本地文件的大小是否正确,请使用python chamilo.
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本
12-09
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本 Airflow 是一个使用 python 语言编写的 data pipeline 调度和监控工作流的平台。Airflow 是通过 DAG(Directed acyclic graph 有向无环图)来...
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
首先,我们需要理解什么是远程命令执行漏洞。RCE漏洞允许攻击者通过网络在目标系统上执行任意命令,通常是因为程序处理用户输入时存在安全的代码实践。在Spring4Shell漏洞中,问题出在Spring MVC和Spring WebFlux...
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
WinRAR 拥有超过 500 亿用户,面临新漏洞CVE-2023-40477、CVE-2023-38831)。 今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在...
海康威视isecure center 综合安防管理平台存在任意文件上传漏洞
nnn2188185的博客
06-29 1523
HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动,以电子地图为载体,融合各系统能力实现丰富的智能应用。HIKVISION iSecure Center平台基于“统一软件技术架构”先进理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、统一配置、统一管理和统一调度。海康威视
Error系列-CVE CIS-2023系统漏洞处理方案集合
tangdou369098655的博客
06-06 6459
网络安全-CVE - CIS 漏洞分析以及解决
苹果修复3个已遭利用的新 0day
smellycat000的专栏
05-19 549
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士苹果修复了用于攻击 iPhone、Mac 和 iPad 的三个新0day。苹果公司在安全公告中指出,“苹果已注意到该漏洞可能遭活跃利用的报告。”这三个漏洞均位于多平台的 WebKit 浏览器引擎中,编号为CVE-2023-32409、CVE-2023-28204和CVE-2023-32373。CVE-2023-32409是一个沙箱逃逸漏洞,可导致...
OrangePi AIpro学习5 —— 模型推理程序开发
最新发布
HuanBianCheng27的博客
08-13 946
本章讲解Resnet50模型如何运行在昇腾芯片上,如何对图片进行推理
车身域测试学习、CANoe工具实操学习、UDS诊断测试、功能安全测试、DTC故障注入测试、DBC数据库、CDD数据库、CAN一致性测试
车载测试
08-12 583
车身域测试学习、CANoe工具实操学习、UDS诊断测试、功能安全测试、DTC故障注入测试、DBC数据库、CDD数据库、CAN一致性测试
mysql安全漏洞CVE-2023-0215
07-29
很抱歉,但我无法回答关于"mysql安全漏洞CVE-2023-0215"的问题。因为在您提供的引用内容中,并没有提到与该漏洞相关的信息。如果您有其他关于该漏洞的引用内容或更多的背景信息,我将很乐意为您提供帮助。 #### 引用[.reference_title] - *1* *3* [CVE-2023-21839漏洞本地简单复现](https://blog.csdn.net/csdnmmd/article/details/129247272)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CVE-2023-0215](https://blog.csdn.net/qq_39933800/article/details/131203431)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值