MSS 中的文件 mslib/index.py 中的路径操作 (CVE-2024-25123)
CVE编号
CVE-2024-25123利用情况
暂无补丁情况
N/A披露时间
2024-02-16漏洞描述
MSS(任务支持系统)是一个用于计划大气研究飞行的开放源码软件包。在文件`index.py`中,有一个方法存在路径操纵攻击漏洞。通过修改文件路径,攻击者可以从不同资源中获取敏感信息。`filename`变量与其他变量连接形成了`_file`中的文件路径。然而,`filename`是一个可以捕获路径类型值(包括斜杠(\))的路由参数。因此,攻击者可以通过给`filename`赋值包含../的值来操纵被读取的文件,从而可能访问主机文件系统上的其他文件。此问题在MSS版本8.3.3中得到解决。建议用户升级。对于此漏洞,目前未知任何解决方法。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/Open-MSS/MSS/commit/f23033729ee930b97f8bdbd07df0174311c9b658 | |
| https://github.com/Open-MSS/MSS/security/advisories/GHSA-pf2h-qjcr-qvq2 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 低
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论