OpenRefine 在 LoadLanguageCommand 中存在路径遍历(CVE-2024-49760)
CVE编号
CVE-2024-49760利用情况
暂无补丁情况
N/A披露时间
2024-10-25漏洞描述
OpenRefine是一个用于处理杂乱数据的免费开源工具。其load-language命令期望接收一个`lang`参数,用于构建要加载的本地化文件的路径,路径形式为`translations-$LANG.json`。但在版本低于3.8.3的情况下,它不会检查生成的路径是否在预期的目录中,这意味着该命令可能会被利用来读取文件系统中的其他JSON文件。版本3.8.3解决了这个问题。解决建议
"将组件 org.openrefine:openrefine 升级至 3.8.3 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/OpenRefine/OpenRefine/commit/24d084052dc55426fe460f2a17524... | |
| https://github.com/OpenRefine/OpenRefine/security/advisories/GHSA-qfwq-6jh6-8xx4 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-22 | 对路径名的限制不恰当(路径遍历) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论