本文介绍了2018年关于ImageMagick的Ghostscript安全沙箱绕过漏洞,该漏洞可能导致远程代码执行。Tavis Ormandy揭示了新的绕过方法,利用恶意图片内容触发RCE。报告详细描述了如何通过不受保护的ImageMagick版本在Semrush和Shopify中实现此漏洞,展示了受影响系统的漏洞利用过程。
漏洞报告原始地址:
-
Remote Code Execution on www.semrush.com/my_reports on Logo upload
-
H1514 Remote Code Execution on kitcrm using bulk customer update of Priority Products
两份报告均由fransrosen于2018年提交,漏洞成因相似 分别针对于Semrush以及Shopify 赏金为$10000和$15000
漏洞概况
Ghostscript是一款Adobe PostScript语言和PDF的解释器软件,被许多著名应用(如ImageMagick)所使用。 ImageMagick是一款强大的开源的图像处理工具,可以创
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
