行业新闻与博客

BookStack 中最近修复的严重漏洞使仅通过访问图像上传功能即可将恶意软件推入易受攻击的系统成为可能。

利用 BookStack 中的远程执行代码漏洞（CVE-2020-5256）的利用场景-一个用于构建自托管 Wiki 的应用程序-集中在不受信任的用户有权将图像上传到该应用程序的位置。

“用户可以通过图像上传功能来上传 PHP 文件，这将使他们能够在主机系统上远程执行代码，” 发布在 GitHub 上的一份公告解释道。

“然后他们将获得 PHP 进程的许可。”

此漏洞已在 BookStack 0.25.5 版中解决。

另外，开发人员应通过应用限制性 Web 服务器配置设置来防止直接执行任何 PHP 文件。

本文由机器译制