CVE-2024-8190 是 Ivanti 云服务设备中被利用的操作系统命令注入漏洞，其概念验证 （PoC） 漏洞现已公开发布，因此更新设备至关重要。此后，来自 Horizon3.ai 的安全研究员 Zach Hanley 深入研究了这一漏洞，揭示了配置错误的网络如何使组织面临重大风险。

根据 Ivanti 的公告，该漏洞允许具有管理员级别权限的经过身份验证的远程攻击者在受影响的系统上执行任意代码。该漏洞存在于 Ivanti CSA 4.6 补丁 518 及更早版本中，虽然该公告强调遵循推荐配置的 CSA 设备的风险较低，但 Hanley 的分析显示，现实世界中的错误配置可能会使许多组织容易受到攻击。

由于需要经过身份验证的访问，该漏洞最初被认为是一个小问题，几天后被添加到 CISA 的已知利用漏洞 （KEV） 列表后，该漏洞迅速引起了人们的关注。

Hanley 的分析发现，该漏洞源于未能验证 PHP 文件处理日期和时间设置中的用户输入。具体来说，易受攻击的代码驻留在 DateTimeTab.php 文件中，其中 TIMEZONE 参数直接传递给 exec（） 函数，而无需进行适当的验证。这种对输入的不当处理允许攻击者注入任意命令，从而导致潜在的远程代码执行 （RCE）。

handleDateTimeSubmit 解析 HTTP 请求 |图片：Horizon3.ai

文章原文链接:https://www.anquanke.com/post/id/300256