CVE-2020-15124 是 Goobi Viewer Core 中的路径遍历漏洞。该漏洞允许远程攻击者通过应用程序访问服务器上的文件,可能导致敏感信息泄露。该漏洞影响 Goobi Viewer Core 版本小于等于 4.8.3 的用户。已在 4.8.3 版本中修复此问题。
攻击者可以利用此路径遍历漏洞,通过构造恶意的请求,访问 Goobi Viewer Core 应用程序服务器用户(例如 Tomcat)可访问的文件。这可能包括配置文件、数据库凭据、源代码或其他敏感数据。攻击者可能利用这些信息进一步渗透系统,或窃取关键业务数据。虽然访问权限受限于应用程序服务器用户,但如果服务器用户拥有较高的权限,则潜在影响将更大,可能导致更广泛的数据泄露和系统破坏。此漏洞的严重性与类似的文件包含漏洞相当,可能导致未经授权的访问和数据泄露。
该漏洞已公开披露,并被评为 CRITICAL 级别。目前尚未发现公开的利用程序,但由于漏洞的严重性和易利用性,存在被利用的风险。建议密切关注安全社区的动态,并及时采取缓解措施。CISA 尚未将其添加到 KEV 目录中。
Organizations utilizing Goobi Viewer Core in production environments, particularly those with sensitive data stored on the server, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromised Goobi Viewer Core instance could potentially expose data belonging to other users.
• java / server:
find /var/lib/tomcat/webapps/goobi-viewer-core/ -name "*.properties"• generic web:
curl -I 'http://your-goobi-viewer-core-url/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.19% (40% 百分位)
CVSS 向量
最有效的缓解措施是立即升级到 Goobi Viewer Core 4.8.3 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制应用程序服务器用户的权限,使其只能访问必要的文件和目录。配置 Web 应用程序防火墙 (WAF) 或代理服务器,以阻止包含路径遍历攻击模式的请求。审查 Goobi Viewer Core 的配置文件,确保没有敏感信息以明文形式存储。监控应用程序日志,查找可疑的访问尝试。
将 Goobi Viewer Core 更新到 4.8.3 或更高版本。此版本包含路径遍历漏洞的修复。可以通过从供应商网站下载新版本并按照提供的说明进行安装来执行更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2020-15124 是 Goobi Viewer Core 版本小于等于 4.8.3 中发现的路径遍历漏洞,允许攻击者访问服务器上的文件。
如果您正在使用 Goobi Viewer Core 版本小于 4.8.3,则您可能受到此漏洞的影响。请立即升级。
升级到 Goobi Viewer Core 4.8.3 或更高版本是修复此漏洞的最佳方法。
虽然目前尚未发现公开的利用程序,但由于漏洞的严重性和易利用性,存在被利用的风险。
请访问 Goobi Viewer Core 的官方网站或安全公告页面,以获取有关此漏洞的更多信息。
上传你的 pom.xml 文件,立即知道是否受影响。