当前位置:首页 >> 业界动态
Lanproxy路径遍历漏洞CVE-2021-3019漏洞安全通告
1. 漏洞类型:
TAG: CVE-2021-3019、内网穿透、路径遍历
危害等级:
应急等级: 黄色

2. 漏洞影响:
  路径遍历读取任意文件,可读取web端账号密码。

3. 受影响版本:
  • Lanproxy V0.1

4. 漏洞解析:
检测语句:http://IP:PORT/../conf/config.properties
参数解释:在网站链接中里修改“IP”和“PORT”的数值
IP:被检测的主机的ipv4地址
PORT:被检测的主机的web访问端口
检测结果:

  如图使用检测语句读取配置文件并获取了配置文件信息。如果信息包返回了配置文件的信息,则证明存在CVE-2021-3019漏洞,如果未返回相应的配置文件的信息,则证明不存在CVE-2021-3019漏洞。

5. 解决措施:
路由层配置过滤”../”及其编码。

6. 相关链接:
1) https://github.com/maybe-why-not/lanproxy/issues/1
2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3019