• 【漏洞预警】Metinfo 5.3.5- 5.3.13 SSRF漏洞[0day]

    2017-09-13 北京白帽汇科技有限公司

    2017年9月13日,白帽汇发现Metinfo 5.3.5- 5.3.13 版本存在SSRF漏洞。该漏洞可能导致进行内部网络web系统探测,并可进行blind SSRF攻击。 Metinfo是一款使用PHP+MYSQL开发的国内流行CMS建站系统。根据白帽汇FOFA平台统计分析,目前全球共有此类开放的系统27662个,中国地区开放数量最多共有20528个;美国数量排名第二,共有5460个。

    2017年9月13日,白帽汇发现Metinfo 5.3.5- 5.3.13 版本存在SSRF漏洞。该漏洞可能导致进行内部网络web系统探测,并可进行blind SSRF攻击。 Metinfo是一款使用PHP+MYSQL开发的国内流行CMS建站系统。根据白帽汇FOFA平台统计分析,目前全球共有此类开放的系统27662个,中国地区开放数量最多共有20528个;美国数量排名第二,共有5460个。

    具体分布如下:

    metinfo 国内地区分布情况(系统开放情况,非漏洞影响情况)

    metinfo 国内地区分布情况(系统开放情况,非漏洞影响情况)

    漏洞等级

    中危
    

    漏洞原理与危害

    白帽汇目前已经将漏洞通报给厂商。该漏洞可能导致进行内部网络web系统探测,并可进行blind SSRF攻击。

    受影响版本

    漏洞poc

    目前FOFA系统已经支持针对该漏洞的PoC。

    漏洞影响

    测试版本Metinfo 5.3.5- 5.3.13。 目前根据官方网站最新版本已经由于使用最新版本的ueditor版本,所以,最新版本不存在漏洞。

    CVE编号

    修复建议

    1、更新Metinfo至最新版本。最新版本为5.3.18
    

    白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

    公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。

    为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

北京白帽汇科技有限公司
服务热线:400-650-2031
联系邮箱:service@baimaohui.net
媒体联络:PR@baimaohui.net
地址:北京顺义区后沙峪国门一号
产品
FOFA
NOSEC
FOEYE
信息
最新资讯
反馈
FAQ
版权所有 © 北京白帽汇科技有限公司 2016. All Rights Reserved 京ICP备15042518号