Plataforma
other
Componente
helloweb
Corrigido em
2.0.1
A vulnerabilidade CVE-2020-37034 é uma falha de acesso arbitrário de arquivos presente na HelloWeb versão 2.0. Um atacante remoto pode explorar essa falha para baixar arquivos sensíveis do sistema, comprometendo a confidencialidade dos dados. A vulnerabilidade foi publicada em 30 de janeiro de 2026 e a correção, se disponível, deve ser aplicada o mais rápido possível.
A exploração bem-sucedida da CVE-2020-37034 permite que um atacante remoto acesse e baixe arquivos do sistema através de requisições GET maliciosas para o arquivo 'download.asp'. Ao manipular os parâmetros 'filepath' e 'filename', o atacante pode realizar um ataque de traversal de diretório, contornando as restrições de acesso e obtendo acesso a arquivos de configuração, código-fonte e outros dados confidenciais armazenados no servidor. A exposição desses arquivos pode levar à divulgação de informações sensíveis, comprometimento da integridade do sistema e, potencialmente, à execução remota de código, dependendo do conteúdo dos arquivos acessados.
A vulnerabilidade CVE-2020-37034 foi divulgada publicamente em 30 de janeiro de 2026. Não há informações disponíveis sobre a inclusão da vulnerabilidade no KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de um EPSS (Exploit Prediction Score System) score. Atualmente, não há provas públicas de um proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade a torna um alvo potencial para exploração.
Systems running HelloWeb version 2.0 are directly at risk. Shared hosting environments where multiple users share the same web server instance are particularly vulnerable, as an attacker exploiting this vulnerability on one user's account could potentially access files belonging to other users on the same server.
• generic web: Use curl to test the download.asp endpoint with directory traversal sequences (e.g., curl 'download.asp?filepath=../../../../etc/passwd&filename=passwd').
• generic web: Examine access logs for requests to download.asp containing ../ or other directory traversal sequences in the filepath or filename parameters.
• generic web: Check response headers for unexpected content types or file extensions when accessing download.asp with crafted parameters.
disclosure
Status do Exploit
EPSS
0.21% (percentil 43%)
CISA SSVC
Vetor CVSS
A mitigação primária para a CVE-2020-37034 é a atualização para a versão corrigida da HelloWeb, se disponível. Enquanto a atualização não for possível, implemente medidas de segurança adicionais, como a restrição de acesso ao arquivo 'download.asp' através de um firewall de aplicação web (WAF) ou proxy reverso. Configure o WAF para bloquear requisições com caracteres de traversal de diretório (por exemplo, '..'). Além disso, revise as permissões de arquivos e diretórios no servidor para garantir que apenas os usuários autorizados tenham acesso aos arquivos sensíveis. Monitore os logs do servidor em busca de tentativas de acesso não autorizado.
Actualizar a una versión parcheada o descontinuar el uso de HelloWeb 2.0. Como medida temporal, se puede implementar una validación exhaustiva de las entradas de usuario en los parámetros filepath y filename para prevenir el acceso a archivos no autorizados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2020-37034 is a vulnerability in HelloWeb 2.0 allowing attackers to download system files by manipulating parameters. It has a CVSS score of 7.5 (HIGH).
If you are running HelloWeb version 2.0, you are potentially affected. Upgrade to a patched version as soon as possible.
Upgrade HelloWeb to the latest available version. Implement input validation on the filepath and filename parameters as a temporary workaround.
There is no confirmed active exploitation currently, but the vulnerability's simplicity makes it a potential target.
Refer to the vendor's website or security advisories for the latest information and updates regarding CVE-2020-37034.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.