| タイトル | HummerRisk <=1.5.0 Command Injection |
|---|
| 説明 | HummerRisk version <=1.5.0 contains a critical command injection vulnerability in its cloud task scheduler component. Attackers with permissions to create cloud scanning tasks can inject arbitrary operating system commands through the regionId parameter. This malicious input is stored in the database and later executed during task cleanup operations, enabling remote code execution (RCE) on the HummerRisk server.
|
|---|
| ソース | ⚠️ https://github.com/AnalogyC0de/public_exp/issues/8 |
|---|
| ユーザー | Ana10gy (UID 93358) |
|---|
| 送信 | 2026年02月13日 09:36 (2 月 ago) |
|---|
| モデレーション | 2026年02月23日 19:51 (10 days later) |
|---|
| ステータス | 承諾済み |
|---|
| VulDBエントリ | 347415 [HummerRisk 迄 1.5.0 Cloud Task Scheduler ResourceCreateService.java regionId 特権昇格] |
|---|
| ポイント | 20 |
|---|