Platform
linux
Component
oliver-library-server
Opgelost in
8.00.008.053
CVE-2021-47755 beschrijft een Arbitrary File Access kwetsbaarheid in de Oliver Library Server. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurige systeembestanden te downloaden. De kwetsbaarheid treft versies van de server tussen 5.0.0 en 8.00.008.052 inclusief. Een upgrade naar versie 8.00.008.053 is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van CVE-2021-47755 stelt een aanvaller in staat om gevoelige systeembestanden van de server te downloaden. Dit kan leiden tot blootstelling van configuratiebestanden, wachtwoorden, database-credentials of andere vertrouwelijke informatie. De impact kan variëren afhankelijk van de bestanden die toegankelijk zijn, maar in het ergste geval kan dit leiden tot volledige controle over de server. Er zijn geen bekende gevallen van actieve exploitatie gemeld, maar de ongeauthenticeerde aard van de kwetsbaarheid maakt deze een aantrekkelijk doelwit voor aanvallers.
CVE-2021-47755 werd publiekelijk bekendgemaakt op 2026-01-15. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de ongeauthenticeerde aard van de kwetsbaarheid maakt deze een potentieel doelwit. De KEV-status is momenteel onbekend. De kwetsbaarheid is vergelijkbaar met andere file download kwetsbaarheden waarbij input niet correct wordt gevalideerd.
Organizations running Oliver Library Server, particularly those with publicly accessible instances or those lacking robust web application firewalls, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users.
• linux / server:
journalctl -u oliver_library_server -g 'FileServlet' | grep -i 'fileName='• generic web:
curl -I 'http://<server_ip>/oliver/FileServlet?fileName=<suspicious_filename>' | grep '200 OK'disclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2021-47755 is het upgraden van de Oliver Library Server naar versie 8.00.008.053 of hoger. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround het implementeren van een Web Application Firewall (WAF) zijn die de 'fileName' parameter valideert en ongeautoriseerde toegang blokkeert. Controleer ook de configuratie van de server om te zorgen dat er geen onnodige bestanden toegankelijk zijn via het internet. Na de upgrade, controleer de serverlogs op verdachte activiteit gerelateerd aan de FileServlet endpoint.
Werk Oliver Library Server bij naar versie 8.00.008.053 of hoger om de kwetsbaarheid voor willekeurige bestandsdownload te mitigeren. Zorg ervoor dat u de meest recente beveiligingsupdates van Softlink Education toepast om de systeembeveiliging te behouden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2021-47755 is a vulnerability allowing unauthenticated attackers to download arbitrary files from an Oliver Library Server instance by manipulating the 'fileName' parameter. It has a CVSS score of 7.5 (HIGH).
You are affected if you are running Oliver Library Server versions 5.0.0 through 8.00.008.052. Check your version and upgrade if necessary.
Upgrade to version 8.00.008.053 or later. As a temporary workaround, implement a WAF rule to block suspicious 'fileName' parameters.
There is currently no evidence of active exploitation in the wild, but the vulnerability's simplicity makes it a potential target.
Refer to the vendor's security advisory for detailed information and updates: [https://www.oliver-ideas.com/security-advisories/](https://www.oliver-ideas.com/security-advisories/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.