一、 漏洞 CVE-2019-12180 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在SmartBear ReadyAPI 2.8.2 和 3.0.0 以及 SoapUI 5.5 中发现了一个问题。在打开项目时,会自动执行Groovy的“加载脚本”。这允许攻击者通过使受害者机器打开恶意项目,在目标机器上执行任意的Groovy语言代码(Java脚本语言)。与“保存脚本”函数类似,这个问题在保存项目时也会自动执行。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered in SmartBear ReadyAPI through 2.8.2 and 3.0.0 and SoapUI through 5.5. When opening a project, the Groovy "Load Script" is automatically executed. This allows an attacker to execute arbitrary Groovy Language code (Java scripting language) on the victim machine by inducing it to open a malicious Project. The same issue is present in the "Save Script" function, which is executed automatically when saving a project.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
SmartBear Software ReadyAPI和SoapUI 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SmartBear Software ReadyAPI是美国SmartBear Software公司的一款API测试平台。该平台支持功能测试、负载测试和服务虚拟化等功能。 SmartBear Software ReadyAPI 2.8.2版本至3.0.0版本和SoapUI 5.5及之前版本中的Load Script功能存在输入验证错误漏洞。本地攻击者可利用该漏洞在系统上执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-12180 的公开POC
# POC 描述 源链接 神龙链接
1 Advisory & PoC https://github.com/0x-nope/CVE-2019-12180 POC详情
三、漏洞 CVE-2019-12180 的情报信息