cve-2021-45467

CentOS의 Contorl Web Panel (CWP)에서 file inclusion vulnerability이 보고되었다. 직접 취약점을 상세히 분석하고 재현해보진 않았지만 접근 과정이 흥미있어 공개된 내용을 참고하여 정리 해본다. Control Web Panel의 ‘/user/loader.php’와 ‘/user/index.php’는 인증 과정 없이 접근이 가능한 페이지로 아래와 같은 include 구문을 포함한다. PHP의 include()와 require() 함수는 로컬 또는 원격의 파일을 읽어 PHP 스크립트로 실행하는 함수로서 공격자의 악의적인 코드를 […]