一、 漏洞 CVE-2024-55556 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Crater Invoice中存在一处漏洞,允许攻击者在获知APP_KEY的情况下,通过操纵laravel_session cookie,利用加密会话数据中的任意反序列化功能,在服务器上实现远程命令执行。此漏洞的利用方式依赖于攻击者获取Laravel的密钥APP_KEY,这将使他们能够解密并操纵包含序列化数据的会话cookie(laravel_session)。通过更改这些数据并使用APP_KEY重新加密,攻击者可以在服务器上触发任意反序列化,从而可能导致远程命令执行(RCE)。该漏洞主要通过访问暴露的cookie并使用密钥进行操纵,以获得对服务器的恶意访问。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
可信数据的反序列化
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in Crater Invoice allows an unauthenticated attacker with knowledge of the APP_KEY to achieve remote command execution on the server by manipulating the laravel_session cookie, exploiting arbitrary deserialization through the encrypted session data. The exploitation vector of this vulnerability relies on an attacker obtaining Laravel's secret APP_KEY, which would allow them to decrypt and manipulate session cookies (laravel_session) containing serialized data. By altering this data and re-encrypting it with the APP_KEY, the attacker could trigger arbitrary deserialization on the server, potentially leading to remote command execution (RCE). The vulnerability is primarily exploited by accessing an exposed cookie and manipulating it using the secret key to gain malicious access to the server.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Crater 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Crater是Crater Invoice开源的一款开源网络和移动应用程序。用于跟踪费用、付款并创建专业发票和估算。 Crater存在代码问题漏洞。攻击者利用该漏洞可以远程执行命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-55556 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-55556 的情报信息