SRS 命令执行漏洞(CVE-2023-34105)
CVE编号
CVE-2023-34105利用情况
暂无补丁情况
N/A披露时间
2023-06-13漏洞描述
SRS是一个实时视频服务器,支持RTMP、WebRTC、HLS、HTTP-FLV、SRT、MPEG-DASH和GB28181。在版本5.0.157、5.0-b1和6.0.48之前,SRS的“api服务器”服务器容易受到命令注入驱动的攻击。攻击者可以向“/api/v1/snapshots”端点发送一个请求,其中包含要作为POST请求主体执行的任何命令。此问题可能导致远程代码执行(RCE)。版本5.0.157、5.0-b1和6.0.48包含修复程序。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | ossrs | simple_realtime_server | * | From (including) 5.0.137 | Up to (excluding) 5.0.157 | ||||
| 运行在以下环境 | |||||||||
| 应用 | ossrs | simple_realtime_server | * | From (including) 6.0.18 | Up to (excluding) 6.0.48 | ||||
- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-77 | 在命令中使用的特殊元素转义处理不恰当(命令注入) |
| CWE-78 | OS命令中使用的特殊元素转义处理不恰当(OS命令注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论