ruby 命令执行 (CVE-2017-17405)
| ID: | 16676 |
|---|---|
| 标题: | ruby 命令执行 (CVE-2017-17405) |
| 描述: | ruby 命令执行 (CVE-2017-17405) vulfocus/ruby-cve_2017_17405:latest Ruby Net::FTP 模块是一个FTP客户端,在上传和下载文件的过程中,打开本地文件时使用了open函数。而在ruby中,open函数是借用系统命令来打开文件,且没用过滤shell字符,导致在用户控制文件名的情况下,将可以注入任意命令。 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | 无 |
| writeup: | https://blog.csdn.net/zy15667076526/article/details/111136088 |