Plataforma
linux
Componente
oliver-library-server
Corregido en
8.00.008.053
La vulnerabilidad CVE-2021-47755 afecta a Oliver Library Server, permitiendo a atacantes no autenticados acceder a archivos del sistema. Esta falla de acceso a archivos arbitrarios se debe a una falta de validación adecuada en el parámetro 'fileName' del endpoint FileServlet. Las versiones afectadas son las comprendidas entre 5.0.0 y 8.00.008.053 (excluyendo la última). Se recomienda actualizar a la versión 8.00.008.053 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para descargar archivos confidenciales del servidor, incluyendo contraseñas, claves de cifrado, información de configuración y datos de usuarios. El acceso no autenticado significa que no se requiere ninguna credencial para realizar la explotación, lo que aumenta significativamente el riesgo. La capacidad de acceder a archivos arbitrarios podría permitir a un atacante obtener un conocimiento profundo de la infraestructura del servidor, facilitando ataques posteriores, como la modificación de archivos de configuración o la ejecución de código malicioso. Aunque no se han reportado casos de explotación pública, la facilidad de explotación y la sensibilidad de los datos potencialmente accesibles la convierten en una amenaza significativa.
CVE-2021-47755 fue publicado el 15 de enero de 2026. Actualmente, no se encuentra en el catálogo KEV de CISA. No se han identificado públicamente pruebas de concepto (PoCs) activas, pero la naturaleza sencilla de la vulnerabilidad sugiere que podrían desarrollarse fácilmente. La puntuación CVSS de 7.5 (ALTO) indica una probabilidad moderada de explotación si no se aplican las mitigaciones.
Organizations running Oliver Library Server, particularly those with publicly accessible instances or those lacking robust web application firewalls, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users.
• linux / server:
journalctl -u oliver_library_server -g 'FileServlet' | grep -i 'fileName='• generic web:
curl -I 'http://<server_ip>/oliver/FileServlet?fileName=<suspicious_filename>' | grep '200 OK'disclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2021-47755 es actualizar Oliver Library Server a la versión 8.00.008.053 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que manipulen el parámetro 'fileName' de manera sospechosa. Monitoree los registros del servidor en busca de intentos de acceso a archivos inusuales o no autorizados. Revise la configuración del servidor para asegurar que el acceso a archivos sensibles esté restringido a usuarios autorizados.
Actualice Oliver Library Server a la versión 8.00.008.053 o superior para mitigar la vulnerabilidad de descarga arbitraria de archivos. Asegúrese de aplicar las actualizaciones de seguridad más recientes proporcionadas por Softlink Education para mantener la seguridad del sistema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-47755 is a vulnerability allowing unauthenticated attackers to download arbitrary files from an Oliver Library Server instance by manipulating the 'fileName' parameter. It has a CVSS score of 7.5 (HIGH).
You are affected if you are running Oliver Library Server versions 5.0.0 through 8.00.008.052. Check your version and upgrade if necessary.
Upgrade to version 8.00.008.053 or later. As a temporary workaround, implement a WAF rule to block suspicious 'fileName' parameters.
There is currently no evidence of active exploitation in the wild, but the vulnerability's simplicity makes it a potential target.
Refer to the vendor's security advisory for detailed information and updates: [https://www.oliver-ideas.com/security-advisories/](https://www.oliver-ideas.com/security-advisories/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.