发布时间:2021-05-17 13:40:58,来源:深信服科技股份有限公司
一、基本情况
近日,zzzcms被披露存在 parserIfLabel模板注入远程执行代码漏洞,漏洞CVE编号:CVE-2021-32605。攻击者可利用该漏洞在受影响的zzzphp上执行任意代码。目前,该漏洞的POC已在互联网公开,建议受影响用户及时将zzzphp升级至2.0.4或更高版本进行修复,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 漏洞等级
高危
三、 漏洞描述
zzzcms是一款asp语言开发的企业建站系统。
该漏洞存在于zzzphp 2.0.3之前版本搜素模板中,由于在处理搜索模板时缺少对用户提供数据的进行正确验证而导致的。攻击者可以利用此漏洞在Web服务器的上下文中执行任意代码。
该漏洞是由于parserIfLabel模块存在模板注入,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行任意代码,可以获取服务器相关权限。
四、 影响范围
zzzcms <= 2.0.3
五、 安全建议
目前官方已发布新版本进行漏洞修复,建议用户及时进行升级安装。
http://www.zzzcms.com/a/news/31_282_1.html
六、 参考链接
https://srcincite.io/advisories/src-2021-0015/