一、 漏洞 CVE-2008-2044 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在 netOffice Dwins 1.3 p2 中的 includes/library.php 文件将 demoSession 变量与 'true' 字符串字面量进行比较,而不是 true 的布尔字面量,这允许远程攻击者绕过身份验证并执行任意代码,通过将 this 变量设置为 1,如通过将 PHP 脚本通过添加操作上传到项目_site/uploadfile.php 中所示。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
includes/library.php in netOffice Dwins 1.3 p2 compares the demoSession variable to the 'true' string literal instead of the true boolean literal, which allows remote attackers to bypass authentication and execute arbitrary code by setting this variable to 1, as demonstrated by uploading a PHP script via an add action to projects_site/uploadfile.php.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
netOffice Dwins 'includes/library.php' 权限绕过漏洞和任意文件上传漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
netOffice Dwins 1.3 p2中的includes/library.php 用demoSession 变量与 'true' string literal 而不是true boolean literal进行匹配,这会导致远程攻击者通过把该变量值设置为1来绕过权限并执行任意代码,例如,通过对projects_site/uploadfile.php的一个添加操作来上传一个PHP脚本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2008-2044 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2008-2044 的情报信息