漏洞通告 | Showdoc 远程代码执行漏洞

文章预览

漏洞概况 ShowDoc是一个功能强大、易于使用、免费开源的文档管理系统。通过ShowDoc，可以方便地使用Markdown语法来书写出美观的API文档、数据字典文档、技术文档、在线Excel文档。 近日，微步漏洞团队获取到Showdoc 远程代码执行漏洞情报（https://x.threatbook.com/v5/vul/XVE-2023-28617）。攻击者通过SQL注入漏洞获取到token进入后台。进入后台后可结合反序列化漏洞， 写入WebShell ，从而获取服务器权限。 该漏洞利用难度低，造成危害大，建议用户尽快修复。 漏洞处置优先级(VPT) 综合处置优先级： 高 基本信息 微步编号 XVE-2023-28617 漏洞类型 SQL注入 & 反序列化 利用条件评估 利用漏洞的网络条件 远程 是否需要绕过安全机制 不需要 对被攻击系统的要求 默认配置 利用漏洞的权限要求 无需任何权限 是否需要受害者配合 不需要 利用情报 POC是否公开 否 微步已捕获 ………………………………