平台
other
组件
crystal-live-http-server
CVE-2019-25352 是 Crystal Live HTTP Server 6.01 版本中发现的路径遍历漏洞。该漏洞允许远程攻击者通过操纵 URL 路径访问系统文件,可能导致敏感信息泄露。受影响的版本为 6.01。建议尽快采取缓解措施或升级到安全版本。
攻击者可以利用此路径遍历漏洞,通过在 URL 中使用多个 '../' 序列,绕过 Web 根目录的限制,访问服务器上的任意文件。这可能包括敏感的配置文件,例如 Windows 系统文件,甚至数据库文件。成功利用此漏洞可能导致信息泄露、权限提升,甚至可能允许攻击者执行恶意代码。由于 Crystal Live HTTP Server 经常用于嵌入式系统和物联网设备,因此该漏洞的潜在影响范围非常广泛。
目前尚未公开发现针对此漏洞的公开利用代码 (PoC)。该漏洞已于 2026-02-18 公布。由于 Crystal Live HTTP Server 经常用于嵌入式系统,因此存在被攻击者利用的可能性。建议密切关注安全社区的动态,及时了解最新的威胁情报。
Systems utilizing Crystal Live HTTP Server version 6.01–6.01, particularly those deployed in environments with limited network segmentation or exposed to the internet, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable.
disclosure
漏洞利用状态
EPSS
0.46% (64% 百分位)
CISA SSVC
CVSS 向量
由于没有提供修复版本,建议采取以下缓解措施。首先,限制 Crystal Live HTTP Server 的访问权限,仅允许必要的客户端访问。其次,配置 Web 服务器,阻止包含多个 '../' 序列的 URL 请求。可以使用 Web 应用防火墙 (WAF) 或反向代理服务器来实现此目的。最后,定期审查服务器上的文件权限,确保敏感文件受到保护。在采取缓解措施后,请仔细检查服务器日志,确认是否还有未经授权的文件访问尝试。
Actualizar a una versión parcheada del Crystal Live HTTP Server que solucione la vulnerabilidad de path traversal. Si no hay una versión disponible, considerar deshabilitar el servicio o implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar las entradas de la URL.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2019-25352 是 Crystal Live HTTP Server 6.01 版本中发现的路径遍历漏洞,允许攻击者通过 URL 操纵访问系统文件。
如果您正在使用 Crystal Live HTTP Server 6.01 版本,则可能受到此漏洞的影响。请立即采取缓解措施。
由于没有提供修复版本,建议采取限制访问权限、配置 Web 服务器阻止异常 URL 请求以及定期审查文件权限等缓解措施。
目前尚未公开发现针对此漏洞的公开利用代码,但存在被攻击者利用的可能性。
由于 Crystal Live HTTP Server 官方网站信息有限,建议关注安全社区的动态,获取最新的威胁情报。