漏洞标题
N/A
漏洞描述信息
console-io是一个模块,允许用户在他们的应用程序中实现一个Web控制台。恶意用户可以通过绕过验证来执行任何运行console-io应用程序2.2.13及其以前版本的用户能够执行的命令。这意味着,如果console-io是从根目录运行的,攻击者将具有完全访问系统的能力。这个漏洞的存在是因为console-io应用程序没有配置socket.io要求验证,这允许恶意用户通过Web消息队列连接以发送命令并接收响应。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
console-io is a module that allows users to implement a web console in their application. A malicious user could bypass the authentication and execute any command that the user who is running the console-io application 2.2.13 and earlier is able to run. This means that if console-io was running from root, the attacker would have full access to the system. This vulnerability exists because the console-io application does not configure socket.io to require authentication, which allows a malicious user to connect via a websocket to send commands and receive the response.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
console-io 安全漏洞
漏洞描述信息
Cloud Commander是一款具有控制台和编辑器的Web文件管理器。console-io是其中的一个基于Web的控制台程序。 console-io 2.2.13及之前版本中存在安全漏洞,该漏洞源于程序没有配置socket.io去执行身份验证。远程攻击者可利用该漏洞绕过身份验证,执行代码。
CVSS信息
N/A
漏洞类别
授权问题