一、 漏洞 CVE-2018-12026 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在启动恶意 passenger 管理的应用时,在 SpawningKit 5.3.x 之前的 5.3.2 版本中, Phusion Passenger 允许这些应用将启动通信目录中的关键文件或目录用 symlink 替换。这可能导致任意读取和写入,进而导致信息泄露和特权升级。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
During the spawning of a malicious Passenger-managed application, SpawningKit in Phusion Passenger 5.3.x before 5.3.2 allows such applications to replace key files or directories in the spawning communication directory with symlinks. This then could result in arbitrary reads and writes, which in turn can result in information disclosure and privilege escalation.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Phusion Passenger SpawningKit 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Phusion Passenger是荷兰Phusion公司的一个用于在Apache和Nginx网页服务器上部署Ruby on Rails项目的Apache模块。SpawningKit是其中的一个组件。 Phusion Passenger 5.3.2之前的5.3.x版本中的SpawningKit存在安全漏洞。攻击者可通过将路径元素替换成符号链接利用该漏洞执行任意的读取和写入操作,从而泄露信息并提升权限。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
后置链接
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2018-12026 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2018-12026 的情报信息