一、 漏洞 CVE-2020-5256 基础信息
漏洞标题
通过在BookStack中上传图片实现远程代码执行
来源:AIGC 神龙大模型
漏洞描述信息
通过图像上传在BookStack中实现远程代码执行
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
Remote Code Execution Through Image Uploads in BookStack
来源:美国国家漏洞数据库 NVD
漏洞描述信息
BookStack before version 0.25.5 has a vulnerability where a user could upload PHP files through image upload functions, which would allow them to execute code on the host system remotely. They would then have the permissions of the PHP process. This most impacts scenarios where non-trusted users are given permission to upload images in any area of the application. The issue was addressed in a series of patches in versions 0.25.3, 0.25.4 and 0.25.5. Users should upgrade to at least v0.25.5 to avoid this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
动态执行代码中指令转义处理不恰当(Eval注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
BookStack 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
BookStack是一套开源的使用PHP和Laravel构建wiki文档的平台。 BookStack 0.25.5之前版本中存在代码问题漏洞。攻击者可通过图像上传功能上传PHP文件利用该漏洞执行代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-5256 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2020-5256 的情报信息