查找 CKEditor 编辑器公开Poc(收获寥寥)
Posted 南瓜__pumpkin
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了查找 CKEditor 编辑器公开Poc(收获寥寥)相关的知识,希望对你有一定的参考价值。
文章目录
参考:cvedetails-keditor : Security Vulnerabilities
漏洞编号 CVE-2021-37695 : XSS
公布时间2021-08-13
检索 CVE、NVD-CVE、cvedetails - 无
检索 Github
检索 CVE-2021-37695,无内容
检索 ckeditor4.16.2,无内容
检索 Twitter
检索 CVE-2021-37695,无有效信息;
检索 CVE-2021-37695 poc,无内容。
检索 vuldb.com/zh/
此漏洞的脆弱性 2021-08-13所提交。 公告共享下载网址是 github.com。 该漏洞的交易名称为CVE-2021-37695, CVE分配信息格式:2021-07-29。 可以发起远程攻击, 无技术细节可用。 该漏洞的知名度低于平均水平, 没有可利用漏洞。 漏洞利用的当前现价为美元计算大致为USD $0-$5k。 MITRE ATT&CK项目声明攻击技术为T1059.007。 它被宣布为未定义。 估计零日攻击的地下价格约为$0-$5k。 升级到版本4.16.2能够解决此问题。 错误修复程序下载地址为github.com, 建议采用一个补丁来修正此问题。 该漏洞被披露后,此前未曾发表过可能的缓解措施。
https://vuldb.com/zh/?search,搜索 ckeditor,获得整体信息。倒霉,一个 Poc 都没有。
模糊检索 Google
检索编号 CVE-2020-27193 exploit,无 Exp 信息。
直接检索 ckeditor exploit,翻了前两页,找到一个疑似漏洞,待确认。
Ckeditor v4.4.7.xx Multiple Vulnerabilities,文章提到 Ckeditor 4.4.7 有 XSS 和 File Upload 漏洞,但 XSS 用裸 CKeditor 4.4.7 测试无,文件上传给的 URL 直接是 FCKeditor 独有的目录结构,判断文章不可信。
检索 cybersecurity-help.cz/vdb
检索 ckeditor,选择 With exploit ,结果是一个 exp 都没有……
检索 wooyun
检索到的都是 FCKeditor 的漏洞。FCKeditor于 2009年8月21日 发布新版本,并更名为CKeditor ,版本号延续为3.0。因此可以说目前FCKeditor的最新版本是CKEditor 3.0 。
CKeditor是对FCKeditor的代码的完全重写(个人理解,CKeditor3.0 之前是 FCKeditor)
检索 0sec
项目地址:https://github.com/moyuwa/0sec-search
检索结果如图,检索到 4 个 FCkeditor 漏洞,1 个 CKEditor 4.1.8 的漏洞,但本地搭建有点问题。
Web安全|CKEditor|(CVE-2019-19502)CKEditor v4.1.8 Image Uploader and Browser 远程命令执行漏洞 https://wiki.0-sec.org/api/wiki/articleInfo/7680
Fofa 检索 零组文库
,找了一个 资料文库 ,但只有 4 个 FCKeditor 漏洞。
title指纹:主页 · 资料文库。全网只有这一个站。
反思
根据 赛博安全
和 漏洞库
的绘测描述,白嫖 CKEditor 漏洞公开 Poc 的可能性极小。停手吧,阿祖!
赛博安全搜索 Thinkphp,只搜索到一个漏洞,说明赛博不准。
vuldb搜索 Thinkphp,搜索截图如下,真心不准。
又去检索了 wooyun 和 0sec,还是没有 4.4 及 以上版本的收获,见到的 FCKeditor 漏洞是真滴多。CKEditor告一段落,去补充我的漏洞库了。
以上是关于查找 CKEditor 编辑器公开Poc(收获寥寥)的主要内容,如果未能解决你的问题,请参考以下文章
django-ckeditor添加代码功能(codesnippet)
开源框架 Apache Struts 2漏洞的 PoC 已公开