一、 漏洞 CVE-2021-28940 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
由于在/extlib/Snoopy.class.inc文件中的MagpieRSS 0.72版本中存在错误的 escape exec 命令,因此可以在 cURL 二进制文件中添加一个额外的命令。这将在/scripts/magpie_debug.php 和/scripts/magpie_simple.php 页面上创建问题,如果您在 RSS URL 字段中发送特定的 https URL,您能够执行任意命令。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Because of a incorrect escaped exec command in MagpieRSS in 0.72 in the /extlib/Snoopy.class.inc file, it is possible to add a extra command to the curl binary. This creates an issue on the /scripts/magpie_debug.php and /scripts/magpie_simple.php page that if you send a specific https url in the RSS URL field, you are able to execute arbitrary commands.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
MagpieRSS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
MagpieRSS in 0.72 存在安全漏洞,该漏洞源于/extlib/Snoopy.class.inc命令转义错误,攻击者可利用该漏洞执行任意命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-28940 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2021-28940 的情报信息