漏洞描述
elFinder是一个基于PHP、Jquery的开源文件管理系统。 在elFinder2.1.48及以前的版本中,存在一处参数注入漏洞。攻击者可以利用这个漏洞在目标服务器上执行任意命令,即使是最小化安装的elFinder。这个漏洞的原因除了参数注入外,还有默认情况下的未授权访问,因此我们可以对elFinder增加权限校验,避免任意用户操作服务器上的文件,进而避免被执行任意命令。
elFinder ZIP 参数与任意命令注入(CVE-2021-32682)
PoC代码
暂无相关漏洞推荐
- POC CVE-2019-9194: elFinder <= 2.1.47 - Command Injection
- POC CVE-2021-32682: elFinder 2.1.58 - Remote Code Execution
- POC CVE-2021-43421: Studio-42 elFinder <2.1.60 - Arbitrary File Upload
- POC CVE-2022-26960: elFinder <=2.1.60 - Local File Inclusion
- POC elfinder-version: elFinder 2.1.58 - Remote Code Execution
- POC drupal7-elfinder-rce: Drupal 7 Elfinder - Remote Code Execution
- POC elFinder-path-traversal: elFinder <=2.1.12 - Local File Inclusion
- elFinder CVE-2021-23394 远程代码执行漏洞
- elFinder CVE-2021-43421远程代码执行漏洞
- Studio-42 elFinder CVE-2022-27115任意文件上传漏洞
- elFinder CVE-2022-26960目录遍历漏洞
- elFinder CVE-2022-26960目录遍历漏洞
- elFinder <=2.1.60 - 任意文件读取(CVE-2022-26960)