通过默认用户角色下载和导出文件 (CVE-2024-0551)
CVE编号
CVE-2024-0551利用情况
暂无补丁情况
N/A披露时间
2024-02-27漏洞描述
攻击者需要在攻击之前被授权访问系统,才能通过系统默认用户角色启用数据库和相关导出信息的导出功能。值得注意的是,导出名称的确定性会降低风险,因为导出界面会同时开始下载,一旦下载完成,系统就会删除导出文件。应该将用于导出的端点修补为更高权限级别。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/mintplex-labs/anything-llm/commit/7aaa4b38e7112a6cd879c123... | |
| https://huntr.com/bounties/f114c787-ab5f-4f83-afa5-c000435efb78 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-284 | 访问控制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论