当前位置:
首页
>>
业界动态
Lanproxy路径遍历漏洞CVE-2021-3019漏洞安全通告
1. 漏洞类型:
TAG:
CVE-2021-3019、内网穿透、路径遍历
危害等级:
高
应急等级:
黄色
2. 漏洞影响:
路径遍历读取任意文件,可读取web端账号密码。
3. 受影响版本:
Lanproxy V0.1
4. 漏洞解析:
检测语句:
http://IP:PORT/../conf/config.properties
参数解释:在网站链接中里修改“IP”和“PORT”的数值
IP:被检测的主机的ipv4地址
PORT:被检测的主机的web访问端口
检测结果:
如图使用检测语句读取配置文件并获取了配置文件信息。如果信息包返回了配置文件的信息,则证明存在CVE-2021-3019漏洞,如果未返回相应的配置文件的信息,则证明不存在CVE-2021-3019漏洞。
5. 解决措施:
路由层配置过滤”../”及其编码。
6. 相关链接:
1) https://github.com/maybe-why-not/lanproxy/issues/1
2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3019