平台
php
组件
phptransformer
修复版本
2016.9.1
CVE-2019-25579 是 phpTransformer 2.0.16.9 版本中发现的目录遍历漏洞。该漏洞允许未经身份验证的攻击者通过操纵路径参数来访问服务器上的任意文件,可能导致敏感信息泄露。受影响的版本包括 2016.9。建议尽快更新到安全版本或实施缓解措施。
攻击者可以利用此漏洞访问 phpTransformer 服务器文件系统中的任意文件。通过精心构造的请求,攻击者可以利用 ../../../ 这样的路径遍历序列,绕过访问控制,读取配置文件、源代码或其他敏感数据。这种攻击可能导致信息泄露、代码执行(如果读取了包含可执行代码的文件)或进一步的系统入侵。由于该漏洞无需身份验证,攻击者可以轻易地利用它。
该漏洞已公开披露,存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞简单易攻,存在被恶意利用的可能性。建议密切关注安全社区的动态,及时采取应对措施。该漏洞在 2026-03-21 公布。
Web applications utilizing phpTransformer versions 2016.9 through 2016.9 are at risk. This includes applications that rely on phpTransformer for image processing or other file manipulation tasks. Shared hosting environments where multiple users share the same server are particularly vulnerable, as a compromise of one application could potentially expose files belonging to other users.
• php: Examine access logs for requests containing traversal sequences like '../' in the path parameter.
grep '../' /var/log/apache2/access.log• php: Check for unusual file access patterns in server logs.
journalctl -u apache2 | grep -i "file not found"• generic web: Use curl to test the jQueryFileUploadmaster endpoint with various traversal sequences.
curl 'http://your-server/jqueryFileUploadmaster?path=../../../../../../etc/passwd'disclosure
漏洞利用状态
EPSS
3.31% (87% 百分位)
CISA SSVC
由于 phpTransformer 2016.9 版本存在漏洞,建议尽快升级到安全版本。如果无法立即升级,可以考虑以下缓解措施:限制对 jQueryFileUploadmaster 服务器端点的访问,使用 Web 应用防火墙 (WAF) 过滤包含 ../ 的请求,并确保文件上传目录的权限设置正确,防止攻击者访问敏感文件。此外,监控服务器日志,查找可疑的路径遍历尝试。
Actualizar phpTransformer a una versión parcheada o eliminar el software. La vulnerabilidad permite el acceso a archivos arbitrarios, por lo que es crucial tomar medidas inmediatas para proteger el sistema.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2019-25579 是 phpTransformer 2016.9 版本中发现的目录遍历漏洞,允许攻击者访问服务器上的任意文件。
如果您正在使用 phpTransformer 2016.9 版本,则可能受到影响。请立即升级到安全版本。
建议升级到最新版本。如果无法升级,请实施缓解措施,如限制对 jQueryFileUploadmaster 端点的访问。
虽然目前尚未观察到大规模利用,但由于漏洞简单易攻,存在被恶意利用的可能性。
请查阅 phpTransformer 官方网站或相关安全公告,以获取有关 CVE-2019-25579 的详细信息。
CVSS 向量