漏洞名称:7-Zip 命令执行
影响范围:v21.07
漏洞编号:CVE-2022-29072
漏洞类型:命令执行或提升权限
利用条件:无
综合评价:
<利用难度>:低
<威胁等级>:高危 能获取服务器权限
Windows平台 7-Zip(v21.07) 允许将扩展名为 .7z 的文件被拖到HELP>contents时,可造成权限提升和命令执行。7-zip 软件中包含的零日漏洞是基于 7z.dll 的错误配置和堆溢出。7-zip软件安装后,HELP>contents内容中的帮助文件通过Windows HTML Helper文件工作,但是命令注入后,7zFM.exe进程下出现了一个子进程。第一种方法:如果 7-zip 没有更新,删除 7-zip.chm 文件就足以关闭漏洞。
第二种方法:7-zip 程序应该只有读取和运行权限。(适用于所有用户)。
https://github.com/kagancapar/CVE-2022-29072
【漏洞预警】 S2-062 Struts2 OGNL表达式注入漏洞
【漏洞预警】Spring框架远程命令执行漏洞
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。
查看原文
