74cms信息泄露漏洞(CVE-2018-20519)

今天大寶s??eo博客轉載一篇來(lái)自百度安全指數平臺發(fā)布的信息泄關(guān)于騎士CMS信息泄露漏洞的內容，這篇內容發(fā)布時(shí)間為2018年12月29日，露漏正文部分如下：74cms是信息泄中國迅易科技公司的一套基于PHP和MySQL的在線(xiàn)招聘系統。 74cms 4.2.111版本中存在安全漏洞。露漏遠程攻擊者可通過(guò)修改職位搜索意向利用該漏洞讀取或修改任意簡(jiǎn)歷。信息泄

漏洞描述

遠程攻擊者可通過(guò)修改職位搜索意向利用該漏洞讀取或ヾ(′ω｀)?修改任意簡(jiǎn)歷。露漏

攻擊者創(chuàng )建一份簡(jiǎn)歷(′_ゝ`)，信息泄然??后修改求職意向，露漏修改過(guò)程中抓包更改pid數字會(huì )遍歷和修改任意用戶(hù)信息（pid作為每份簡(jiǎn)歷的信息泄數字索引）。

aja??x_save??_basic函數接收從前端傳遞到后端的露漏pid等參數，對pid參數未與當前用戶(hù)權限校驗就調用save_resume函┐(′д｀)┌數將更改信息寫(xiě)入對應pid的信息泄簡(jiǎn)歷，如下圖所示：

上圖中僅僅檢查了是露漏否存在簡(jiǎn)歷并且利用privileges.C (‘visitor’)返回當前用戶(hù)權限，如下圖：

函數D：

調用resumemodel. class. php文件里面的信息泄save_resume函數，如下圖所示：

更新簡(jiǎn)歷的??露漏save函數如下圖所示：

跟蹤save函數往下執行，將當前更新的信息泄數據(ju)根據pid跟新對應簡(jiǎn)歷，如下圖所示：

將$data參數做參數過(guò)濾防止注入，然后判斷是否??存在主鍵(′?_?`)為pid數值的簡(jiǎn)歷，如果存在則根據pid對簡(jiǎn)歷進(jìn)行更新，隨后將$data變量傳入(ru)update字段中，如下圖所示：

由于上述用戶(hù)操作沒(méi)有對當前用戶(hù)做出權限檢查，更新之后，使用者可以根據修改pid修改任意簡(jiǎn)歷的信息和獲取任意簡(jiǎn)歷的個(gè)人信息內容。

操作步驟

步驟一：┐(′д｀)┌創(chuàng )建賬戶(hù)

步驟二：更改簡(jiǎn)歷

步驟三：點(diǎn)擊修改求職意向

步驟四：抓包修改pid的參數

攻擊結果截圖：

漏洞??等級:

高危

漏洞影響范圍：

解決方法

關(guān)注官方補丁狀態(tài)。

網(wǎng)站管理者可以先將當前用戶(hù)與前端傳遞pid參數綁定。

原文鏈接地址：https://bsi.baid??u.com/article/detail/120