一、 漏洞 CVE-2024-51740 基础信息
漏洞标题
Combodo iTop任意PHP类注入导致SSRF漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Combodo iTop 是一款简单易用的基于Web的IT服务管理工具。此漏洞允许低权限用户以服务器的身份发起HTTP请求。用户门户表单管理器已修复,仅实例化从其派生的类。此问题已在版本2.7.11、3.0.5、3.1.2和3.2.0中得到解决。建议用户进行升级。目前尚未发现此漏洞的缓解措施。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
特权管理不恰当
来源:AIGC 神龙大模型
漏洞标题
SSRF through arbitrary PHP class instantiation in the user portal in Combodo iTop
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Combodo iTop is a simple, web based IT Service Management tool. This vulnerability can be used to create HTTP requests on behalf of the server, from a low privileged user. The user portal form manager has been fixed to only instantiate classes derived from it. This issue has been addressed in versions 2.7.11, 3.0.5, 3.1.2, and 3.2.0. Users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
服务端请求伪造(SSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Combodo iTop 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Combodo iTop是法国Combodo公司的一套基于ITIL开发且用于IT环境日常运营的开源Web应用程序。该程序提供事件管理、配置管理和问题管理等功能。 Combodo iTop 2.7.11之前版本、3.0.5之前版本、3.1.2之前版本和3.2.0之前版本存在代码问题漏洞,该漏洞源于可以从低权限用户代表服务器创建HTTP请求。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-51740 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-51740 的情报信息
-
标题: SSRF through arbitrary PHP class instantiation in the user portal · Advisory · Combodo/iTop · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-51740