Plataforma
linux
Componente
oliver-library-server
Corrigido em
8.00.008.053
O CVE-2021-47755 é uma vulnerabilidade de acesso arbitrário a arquivos presente no Oliver Library Server, afetando versões entre 5.0.0 e 8.00.008.053 (exclusivo). Um atacante não autenticado pode explorar essa falha para acessar arquivos sensíveis do sistema, comprometendo a confidencialidade dos dados. A correção oficial está disponível na versão 8.00.008.053.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado acesse qualquer arquivo no sistema de arquivos do servidor, simplesmente manipulando o parâmetro 'fileName' no endpoint FileServlet. Isso pode levar à exposição de informações confidenciais, como arquivos de configuração, chaves de API, dados de usuários, ou até mesmo código-fonte. O impacto potencial é significativo, especialmente em ambientes onde o Oliver Library Server armazena dados sensíveis ou é utilizado para gerenciar informações de bibliotecas e usuários. A ausência de autenticação necessária para a exploração aumenta o risco, tornando o sistema vulnerável a ataques de fácil execução.
O CVE-2021-47755 foi publicado em 2026-01-15. Atualmente, não há informações sobre exploração ativa em campanhas direcionadas, mas a ausência de autenticação necessária para a exploração torna a vulnerabilidade um alvo atraente para atacantes. A existência de um proof-of-concept público pode facilitar a exploração por atores maliciosos. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação.
Organizations running Oliver Library Server, particularly those with publicly accessible instances or those lacking robust web application firewalls, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users.
• linux / server:
journalctl -u oliver_library_server -g 'FileServlet' | grep -i 'fileName='• generic web:
curl -I 'http://<server_ip>/oliver/FileServlet?fileName=<suspicious_filename>' | grep '200 OK'disclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2021-47755 é a atualização imediata para a versão 8.00.008.053 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao endpoint FileServlet através de um firewall ou proxy reverso, configurando regras para permitir apenas solicitações de fontes confiáveis. Monitore os logs do sistema em busca de tentativas de acesso não autorizado ao endpoint FileServlet, procurando por manipulações suspeitas no parâmetro 'fileName'.
Atualize Oliver Library Server para a versão 8.00.008.053 ou superior para mitigar a vulnerabilidade de download arbitrário de arquivos. Certifique-se de aplicar as atualizações de segurança mais recentes fornecidas por Softlink Education para manter a segurança do sistema.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2021-47755 is a vulnerability allowing unauthenticated attackers to download arbitrary files from an Oliver Library Server instance by manipulating the 'fileName' parameter. It has a CVSS score of 7.5 (HIGH).
You are affected if you are running Oliver Library Server versions 5.0.0 through 8.00.008.052. Check your version and upgrade if necessary.
Upgrade to version 8.00.008.053 or later. As a temporary workaround, implement a WAF rule to block suspicious 'fileName' parameters.
There is currently no evidence of active exploitation in the wild, but the vulnerability's simplicity makes it a potential target.
Refer to the vendor's security advisory for detailed information and updates: [https://www.oliver-ideas.com/security-advisories/](https://www.oliver-ideas.com/security-advisories/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.