本人非原创漏洞作者,文章仅作为知识分享用
一切直接或间接由于本文所造成的后果与本人无关
如有侵权,联系删除
产品简介
OpenRefine 是一个基于 Java 的强大工具,可让您加载数据、理解数据、清理数据、协调数据,并使用来自 Web 的数据对其进行扩充。一切都来自网络浏览器以及您自己计算机的舒适和隐私。
开发语言:Java官网地址:https://openrefine.org/GitHub:https://github.com/OpenRefine/OpenRefine/
漏洞描述
OpenRefine 是一个功能强大的免费开源工具,用于处理混乱的数据。在版本 3.7.5 之前,远程执行代码漏洞允许任何未经身份验证的用户在服务器上执行代码。
影响版本
OpenRefine ≤ v3.7.4
空间测绘
回复“CVE-2023-41887”获取空间测绘语句
环境搭建
1.下载OpenRefine3.7.4windows自带java版本,这个版本只需要双击exe即可启动环境
https://github.com/OpenRefine/OpenRefine/releases/download/3.7.4/openrefine-win-with-java-3.7.4.zip2.解压后,双击“openrefine.exe”即可,成功启动会自动在浏览器打开web页面
http://127.0.0.1:3333/
3.运行成功截图
漏洞利用
-
点击“Create project”,“Database”
2.下载恶意MySQL服务器利用工具,并按照图中顺序设置参数,具体参数值参考自己的IP,然后点击“Start Server”运行恶意MySQL服务器
https://github.com/4ra1n/mysql-fake-server
3.按照顺序将步骤②中的参数填到下面,密码随便填即可,最后点击“Test”
4.不知道为啥没有成功打开计算器,按道理来讲应该是成功运行“计算器”程序,如下图所示
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2023-41887https://github.com/OpenRefine/OpenRefine/security/advisories/GHSA-p3r5-x3hr-gpg5
回复“CVE-2023-41887”获取空间测绘语句
原文始发于微信公众号(不够安全):CVE-2023-41887:OpenRefine远程命令执行 漏洞复现
