钉钉V6.3.5RCE远程命令执行漏洞
漏洞版本号:
V6.3.5-Release.10278702 <=
漏洞相关POC下载地址:
1 | https://wwa.lanzoul.com/iDYNK009i3pg |
漏洞触发情况:
1 | POC触发方式:dingtalk://dingtalkclient/page/link?url=127.0.0.1/test.html&pc_slide=true |
漏洞基本情况:
1 | 在得知漏洞后我模拟安全测试,攻击者可以利用该漏洞完全接管受害者PC电脑,添加恶意用户,植入远程后门等。 |
漏洞特征:
1 | dingtalk: //开头 |
漏洞解决办法:
1 | 点击头像,选择关于钉钉,版本检测以后选择更新至官方最新版本 |
规避措施:
1 | 1. 提升安全意识,避免点击钉钉上发送来的不明链接。 |
Original link: http://www.lovexue.cn/2022/02/18/钉钉V6.3.5RCE远程命令执行漏洞/
Copyright Notice: 转载请注明出处.