【漏洞公告】CVE-2017-11610:Supervisord 远程命令执行漏洞

时间:2022-11-28 20:29:48

本文来源于阿里云-云栖社区, 原文点击这里


Supervisord是一款由Python语言开发,用于管理后台应用(服务)的工具,方便运维人员使用图形化界面进行管理。 

近期,Supervisord曝出了一个需认证的远程命令执行漏洞(CVE-2017-11610),通过POST请求Supervisord管理界面恶意数据,可以获取服务器操作权限,存在严重的安全风险。 
具体详情如下:  


漏洞编号:   
CVE-2017-11610 


漏洞名称:  
Supervisord 远程命令执行漏洞 


官方评级:  
高危 


漏洞描述:  
利用该漏洞远程POST请求提交Supervisord管理界面恶意数据,可以获取服务器操作权限。 


漏洞利用条件和方式:   

  • 利用条件:
  • Supervisor版本在受影响范围内
  • Supervisor 9001管理端口并可以被外网访问
  • Supervisor未配置密码或为弱密码
  • 利用方式:远程利用
 
漏洞影响范围:   

>>>展开全文