MetInfo最新版本(6.1.3)爆出SSRF漏洞

栏目: 后端 · 发布时间: 6年前

内容简介:2018年11月中旬,白帽汇安全研究院监测发现了最新MetInfo的SSRF注入漏洞。该漏洞是由于MetInfo中关于图片上传的代码出现缺陷,没有对指定图片路径中的“#”等敏感字符进行过滤,使得攻击者可以借助图片上传功能的图片的相关参数来达到对内部网络的探测的目的,严重威胁内网安全。

MetInfo最新版本(6.1.3)爆出SSRF漏洞

2018年11月中旬,白帽汇安全研究院监测发现了最新MetInfo的SSRF注入漏洞。该漏洞是由于MetInfo中关于图片上传的代码出现缺陷,没有对指定图片路径中的“#”等敏感字符进行过滤,使得攻击者可以借助图片上传功能的图片的相关参数来达到对内部网络的探测的目的,严重威胁内网安全。

MetInfo最新版本(6.1.3)爆出SSRF漏洞

各行业的网站都有使用MetInfo的痕迹

MetInfo是中国知名的企业建站软件,在中国的活跃使用量数以万计,一旦有高危漏洞爆出,势必会影响各行各业众多网站。而且此次漏洞影响的版本不仅包括官网在10月16日所发布的最新版本6.1.3,还有更早的5.3版本,预计会在最新补丁出来之前对所有使用该模板的网站造成不小的影响。而且据该安全院研究,此次漏洞一年前的某个Metinfo的SSRF漏洞极为相似,因此我们推测,以前的多个版本很大概率也存在该漏洞,预计在未来的很长一段时间,所有基于MetInfo的网站都将受到不小的安全威胁。

概况

MetInfo企业建站系统采用了开源的PHP+Mysql架构,第一个版本于2009年发布,目前最新的版本是V6.1.3,更新于 2018年10月16日。MetInfo是一款功能全面、使用简单的企业建站软件。用户可以在不需要任何编程的基础上,通过简单的安装和可视化操作就能够在互联网搭建独立的企业网站。目前国内各行业网站均有MetInfo的身影。

目前FOFA系统最新数据(一年内数据)显示全球范围内共有13214个基于Metinfo搭建的网站。中国使用数量最多,共有7931台,中国香港第二,共有2570台,美国第三,共有2059台,日本第四,共有88台,中国台湾第五,共有88台。值得一提的是,网上还有很多基于MetInfo改造的网站也受到潜在威胁。

MetInfo最新版本(6.1.3)爆出SSRF漏洞

全球范围内MetInfo建站分布情况(仅为分布情况,非漏洞影响情况)

中国地区中浙江省使用用数量最多,共有4035台;北京市第二,共有1745台,广东省第三,共有435台,河南省第四,共有368台,四川省第五,共有301台。

MetInfo最新版本(6.1.3)爆出SSRF漏洞

中国大陆地区MetInfo建站分布情况(仅为分布情况,非漏洞影响情况)

危害等级

中危

漏洞原理

不同版本的漏洞文件目录存在差异,但都是因为图片上传的相关代码存在漏洞中。其中保存远程图片的相关函数对传入的远程图片的相关变量过滤不严,没有多敏感字符进行检查。导致攻击者只要构造 http://www.baidu.com/?%23.jpg 这样的地址即可绕过图片上传的相关安全检查,直接向指定的url和端口发出请求,进行SSRF攻击。

MetInfo最新版本(6.1.3)爆出SSRF漏洞

成功利用该漏洞,可以看到成功访问到了baidu.com中的内容。

漏洞影响目前漏洞影响版本号包括:

Metinfo 5.3-6.1.3

影响范围

暂无影响范围

漏洞POC

目前FOFA客户端平台已经更新该漏洞检测POC。

MetInfo最新版本(6.1.3)爆出SSRF漏洞

POC截图

CVE编号

暂无编号

修复建议

1、最新补丁在官网还未发布,建议用户把有问题的功能代码删除。

2、在补丁发布之前下线网站。官网地址: https://www.metinfo.cn/download/

白帽汇会持续对该漏洞进行跟进。

参考

[1] https://www.metinfo.cn/

[2] http://www.baimaohui.cn/static_pages/98

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Java程序员修炼之道

Java程序员修炼之道

[英] Benjamin J. Evans、[荷兰] Martijn Verburg / 吴海星 / 人民邮电出版社 / 2013-7 / 89.00元

本书分为四部分,第一部分全面介绍Java 7 的新特性,第二部分探讨Java 关键编程知识和技术,第三部分讨论JVM 上的新语言和多语言编程,第四部分将平台和多语言编程知识付诸实践。从介绍Java 7 的新特性入手,本书涵盖了Java 开发中最重要的技术,比如依赖注入、测试驱动的开发和持续集成,探索了JVM 上的非Java 语言,并详细讲解了多语言项目, 特别是涉及Groovy、Scala 和Cl......一起来看看 《Java程序员修炼之道》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具