一、 漏洞 CVE-2023-36821 基础信息
漏洞标题
进程时长Kuma易通过恶意插件安装实现授权的远程代码执行
来源:AIGC 神龙大模型
漏洞描述信息
Uptime Kuma存在漏洞,通过恶意插件安装,允许授权的远程代码执行。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
下载代码缺少完整性检查
来源:AIGC 神龙大模型
漏洞标题
Uptime Kuma vulnerable to authenticated remote code execution via malicious plugin installation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Uptime Kuma, a self-hosted monitoring tool, allows an authenticated attacker to install a maliciously crafted plugin in versions prior to 1.22.1, which may lead to remote code execution. Uptime Kuma allows authenticated users to install plugins from an official list of plugins. This feature is currently disabled in the web interface, but the corresponding API endpoints are still available after login. After downloading a plugin, it's installed by calling `npm install` in the installation directory of the plugin. Because the plugin is not validated against the official list of plugins or installed with `npm install --ignore-scripts`, a maliciously crafted plugin taking advantage of npm scripts can gain remote code execution. Version 1.22.1 contains a patch for this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Uptime Kuma 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Uptime Kuma是Louis Lam个人开发者的一个易于使用的自托管监控工具。 Uptime Kuma 1.22.1之前版本存在输入验证错误漏洞,该漏洞源于允许经过身份验证的攻击者安装恶意制作的插件,这可能会导致远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-36821 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-36821 的情报信息