免费扫描
HIGHCVE-2024-42485CVSS 7.5

Filament Excel 存在路径遍历漏洞,影响导出下载端点

平台

laravel

组件

pxlrbt/filament-excel

修复版本

2.0.1

1.1.15

AI Confidence: highNVDEPSS 0.7%已审阅: 2026年5月
在NVD查看
保存

CVE-2024-42485 是 Filament Excel 中的路径遍历漏洞,允许未经身份验证的攻击者下载服务器上的任意文件。该漏洞源于导出下载路由 /filament-excel/{path} 未对 URL 中的 ../ 路径进行有效过滤。受影响的版本包括 2.0.0–>= 2.0.0-alpha 以及小于 2.3.3 的版本。Filament Excel 2.3.3 版本已修复此问题。

PHP / Composer

检测此 CVE 是否影响你的项目

上传你的 composer.lock 文件,立即知道是否受影响。

上传 composer.lock

影响与攻击场景

该路径遍历漏洞允许攻击者绕过身份验证机制,直接访问并下载服务器上的任何文件。攻击者可以利用此漏洞窃取敏感数据,例如数据库凭据、配置文件或源代码。如果服务器上存储了用户数据,攻击者还可能泄露用户个人信息。由于该漏洞无需身份验证即可利用,因此攻击者可以轻松地大规模扫描目标服务器,寻找易受攻击的实例。这可能导致大规模数据泄露事件,对组织声誉和业务运营造成严重影响。

利用背景

该漏洞已公开披露,且存在公开的利用方法。目前尚无关于该漏洞被大规模利用的报告,但由于其易于利用,存在被攻击者的利用的可能性。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。建议尽快采取缓解措施,以降低潜在的风险。

哪些人处于风险中翻译中…

Applications built with Laravel and utilizing the Filament admin panel, particularly those relying on Filament Excel for exporting data to Excel format, are at risk. Shared hosting environments where users have limited control over server configuration are particularly vulnerable, as they may be unable to implement WAF rules or modify webserver settings.

检测步骤翻译中…

• laravel: Examine Laravel application logs for requests containing ../ in the /filament-excel/{path} route.

 grep "/filament-excel/\.\.\/" /var/log/laravel.log

• generic web: Monitor web server access logs for requests to /filament-excel/{path} containing directory traversal sequences.

grep '/filament-excel/\.\.\/' /var/log/apache2/access.log

• generic web: Check response headers for unexpected file content types when accessing /filament-excel/{path} with crafted paths.

攻击时间线

  1. Disclosure

    disclosure

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.74% (73% 百分位)

CISA SSVC

利用情况none
可自动化yes
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityNone数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
无 — 无完整性影响。
Availability
无 — 无可用性影响。

受影响的软件

组件pxlrbt/filament-excel
供应商pxlrbt
影响范围修复版本
>= 2.0.0-alpha, < 2.3.3 – >= 2.0.0-alpha, < 2.3.32.0.1
< 1.1.14 – < 1.1.141.1.15

弱点分类 (CWE)

CWE-22

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期

缓解措施和替代方案

最有效的缓解措施是立即将 Filament Excel 升级至 2.3.3 或更高版本。如果升级会导致应用程序中断,可以考虑回滚到之前的稳定版本,并实施额外的安全措施。此外,可以配置 Web 服务器(例如 Nginx 或 Apache)来禁止 ../ 路径,从而限制攻击者访问服务器上的文件。还可以使用 Web 应用程序防火墙 (WAF) 来检测和阻止恶意请求。建议定期审查 Filament Excel 的配置,确保其安全性。

修复方法翻译中…

Actualice el paquete `pxlrbt/filament-excel` a la versión 2.3.3 o superior. Esto puede hacerse mediante Composer ejecutando `composer update pxlrbt/filament-excel`. Asegúrese de limpiar la caché de la aplicación después de la actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-42485 — 路径遍历漏洞在 Filament Excel 中?

CVE-2024-42485 是 Filament Excel 中发现的路径遍历漏洞,允许未经身份验证的攻击者下载服务器上的任意文件。

我是否受到 CVE-2024-42485 在 Filament Excel 中影响?

如果您正在使用 Filament Excel 2.0.0–>= 2.0.0-alpha 以及小于 2.3.3 的版本,则您可能受到此漏洞的影响。

我如何修复 CVE-2024-42485 在 Filament Excel 中?

立即将 Filament Excel 升级至 2.3.3 或更高版本以修复此漏洞。

CVE-2024-42485 是否正在被积极利用?

目前尚无关于该漏洞被大规模利用的报告,但由于其易于利用,存在被攻击者的利用的可能性。

在哪里可以找到 Filament Excel 的官方公告,其中包含有关 CVE-2024-42485 的信息?

请访问 Filament Excel 的官方 GitHub 仓库或官方网站,以获取有关此漏洞的更多信息和更新。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE