风清月朗居

漏洞摘要

Remine 4.2.0中的SCM允许使用git做版本管理，然而在repositories_controller.rb控制器中的diff函数中，没有对外部参数rev和rev_to做合适校验，导致攻击者可以注入一些git参数，达到读取任意文件的目的。发现漏洞后正值HW敏感时期，提交给官方修复后没有公开POC，不过也简单，这里记录下。

漏洞摘要

前些天看到ruby又有命令注入漏洞，CVE-2021-31799，看了下原因比较简单，感慨这个漏洞我应该能提前发现，只要自己够仔细，然而呢，马大哈本性暴漏。
复现这个漏洞比较简单，在目录下写一个|$(whoami)-tags的文件，然后执行rdoc命令，就能触发whoami命令，如图：

漏洞摘要

NodeJS 14.13.1 版本在处理HTTP请求头部时时，允许两个一样的头字段存在，并且在处理字段时，第一个字段的值为准，这样可以让我们发送两个Transfer-Encoding字段头，在某些条件下可以触发一个CL-TE型的HTTP Request Smuggling。漏洞提交到hackerone，得到确认，分配了一个CVE：CVE-2020-8287。

漏洞摘要

webrick是ruby自带的一个http服务模块，支持Transfer-Encoding和Content-Length，但是在校验时，仅用了简单的正则校验，阅读代码后确认存在HTTP Request Smuggling，提交到hackerone，成功薅到一枚CVE：CVE-2020-25613

漏洞链接

• PHP 5.4.34 unserialize UAF exploit
  • http://blog.knownsec.com/2016/06/php-5-4-34-unserialize-uaf-exploit/
• Samba 3.0.37 EnumPrinters 堆内存溢出漏洞
  • http://blog.knownsec.com/2015/05/samba-3-0-37-enumprinters-memory-corruption/
• Linux drm_legacy_lock_free 空指针引用bug分析
  • http://blog.knownsec.com/2015/09/linux-drm_legacy_lock_free-null-pointer-dereference-analysis/
• PHP 7 ZEND_HASH_IF_FULL_DO_RESIZE Use After Free 漏洞分析
  • http://blog.knownsec.com/2015/08/php-7-zend_hash_if_full_do_resize-use-after-free-analysis/
• ImageMagick popen_utf8命令注入 漏洞报告
  • http://blog.knownsec.com/2016/05/imagemagick-popen-remote-command-execution-vulnerability/
• 华硕路由器9999端口远程命令执行研究报告
  • http://blog.knownsec.com/2015/01/report-of-asua-router-9999-port-remote-command-execution-v1/
• DokuWiki fetch.php SSRF漏洞与tok安全验证绕过分析
  • https://paper.seebug.org/230/
• Node.js CVE-2017-14849 漏洞分析
  • https://security.tencent.com/index.php/blog/msg/121