[NS :
一.漏洞概述本漏洞基于XSS与CSRF,可在部分浏览器中通过具有管理员权限的用户点击特定网址使Komari下任意服务器执行任意命令与数据库读取崩溃。PoC已放到文章最后。实测,在Safari(MacOS)最新版本浏览器中,PoC的DoS部分有效,RCE部分无效。二.利用条件Komari中,私有站点被设置为关闭。Ko
GuangChen233] Komari 通过简易链路可能导致的任意命令执行与 DoS 攻击一.漏洞概述本漏洞基于XSS与CSRF,可在部分浏览器中通过具有管理员权限的用户点击特定网址使Komari下任意服务器执行任意命令与数据库读取崩溃。PoC已放到文章最后。实测,在Safari(MacOS)最新版本浏览器中,PoC的DoS部分有效,RCE部分无效。二.利用条件Komari中,私有站点被设置为关闭。Ko
