Получение несанкционированного выполнения кода (RCE) в XWiki: разбор CVE-2024-31982 и автоматизация эксплуатации

newsare.net

Привет! Меня зовут Артур, я специалист по пентестам в компании Xilant. В этой статье разберём одну из наиболее опасных уязвимостей, обнаруженных

Получение несанкционированного выполнения кода (RCE) в XWiki: разбор CVE-2024-31982 и автоматизация эксплуатации

Привет! Меня зовут Артур, я специалист по пентестам в компании Xilant. В этой статье разберём одну из наиболее опасных уязвимостей, обнаруженных в XWiki — CVE-2024-31982, которая позволяет добиться удалённого выполнения произвольного кода (RCE) через, казалось бы, безобидную функциональность поиска.XWiki давно занимает ключевое место среди корпоративных Wiki-платформ благодаря гибкой архитектуре и мощной системе шаблонов. Однако именно эта гибкость сыграла против неё: некорректная обработка пользовательского ввода в механизме рендеринга шаблонов привела к появлению критической SSTI-уязвимости.В материале я покажу, как устроена брешь, как она эксплуатируется и как выглядит автоматизированный PoC, который я написал на основе анализа опубликованного исследования автора jacaba с портала Vicarius.io. Читать далее Read more

Facebook Twitter

10:30 26.11.2025

우주개발, 민간 주도 ‘뉴스페이스’ 시대 열었다 …누리호 4차 발사 성공

newsare.net

한국형발사체 누리호가 4번째 비행에 성공했다. 27일 오전 1시 13분 발사된 누리호는 13기의 위성을 무사히 궤도에 안착시켰다. 역대 가장 많은 수의 위성을 고도 600km까지 올렸다는 점에서 누리호�

우주개발, 민간 주도 ‘뉴스페이스’ 시대 열었다 …누리호 4차 발사 성공

한국형발사체 누리호가 4번째 비행에 성공했다. 27일 오전 1시 13분 발사된 누리호는 13기의 위성을 무사히 궤도에 안착시켰다. 역대 가장 많은 수의 위성을 고도 600km까지 올렸다는 점에서 누리호가 안정적인 발사 역량을 입증했다는 평가가 나온다. 27일 오전 2시 20분 전남 고흥 나로우주센터에서 진행된 누리호 4차 발사 결과 브리핑에서 배경훈 부총리(과학기술정보통신부 장관)는 “대한민국이 독자적인 우주 수송 능력을 갖췄음을 다시 한 번 입증하는 것일 뿐만 아니라 정부와 민간 기업, 국가연구소가 하나의 팀이 돼 수행한 최초의 민관 공동 발사다”라며 “우주 산업의 생태계가 정부 중심에서 민간 중심으로 전환되는 중요한 전환점이 될 것”이라고 했다.●차중 3호, 남극에서 첫 교신 성공한국항공우주연구원에 따르면 누리호는 발사 후 122.3초경에 고도 65.7km에서 1단 분리됐다. 이어 위성이 탑재된 3단을 감싸고 있던 페어링과 2단이 각각 230.2초, 263.1초경에 정상적으로

World and Local News

newsare.net