HIGHCVE-2020-37034CVSS 7.5

HelloWeb 2.0 - 任意文件下载

Q: 我如何修复 CVE-2020-37034 在 HelloWeb 2.0 中的漏洞?

由于没有提供修复版本，建议您限制对 `download.asp` 文件的访问，并使用 WAF 或修改代码进行缓解。

平台

other

组件

helloweb

修复版本

2.0.1

AI Confidence: highNVDEPSS 0.2%已审阅: 2026年5月

在NVD查看

保存

CVE-2020-37034 描述了 HelloWeb 2.0 中的一个严重漏洞，允许远程攻击者通过操纵 filepath 和 filename 参数下载系统文件。该漏洞利用了文件访问控制的缺陷，攻击者可以利用此漏洞获取敏感配置和系统信息。受影响的版本包括 2.0。建议用户尽快采取补丁措施或实施缓解措施以降低风险。

影响与攻击场景

该漏洞的影响非常严重，攻击者可以利用它下载系统配置文件、源代码或其他敏感数据。这可能导致信息泄露、系统配置被篡改，甚至可能被用于进一步攻击。攻击者可以通过构造特定的 GET 请求，例如 download.asp 配合目录遍历，轻松访问目标文件。如果攻击者能够获取数据库连接字符串或其他凭据，他们可以进一步控制系统，造成更大的损失。该漏洞的潜在影响范围广泛，可能影响到整个系统安全。

利用背景

目前没有公开的漏洞利用代码，但该漏洞的原理相对简单，容易被利用。该漏洞已于 2026-01-30 公开，属于高危漏洞。由于其易用性，可能成为攻击者的目标。建议密切关注安全社区的动态，及时获取最新的威胁情报。

哪些人处于风险中翻译中…

Systems running HelloWeb version 2.0 are directly at risk. Shared hosting environments where multiple users share the same web server instance are particularly vulnerable, as an attacker exploiting this vulnerability on one user's account could potentially access files belonging to other users on the same server.

检测步骤翻译中…

• generic web: Use curl to test the download.asp endpoint with directory traversal sequences (e.g., curl 'download.asp?filepath=../../../../etc/passwd&filename=passwd'). • generic web: Examine access logs for requests to download.asp containing ../ or other directory traversal sequences in the filepath or filename parameters. • generic web: Check response headers for unexpected content types or file extensions when accessing download.asp with crafted parameters.

攻击时间线

2026-01-30Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.21% (43% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件helloweb

供应商HELLOWEB

影响范围修复版本

2.0 – 2.02.0.1

弱点分类 (CWE)

CWE-22

时间线

已保留2026-01-28
发布日期2026-01-30
修改日期2026-02-02
EPSS 更新日期2026-03-23

未修复 — 披露已114天

缓解措施和替代方案

由于没有提供 fixed_in 版本，建议用户采取以下缓解措施。首先，限制对 download.asp 文件的访问，并严格控制允许访问的文件类型。可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求，阻止目录遍历攻击。此外，应定期审查 HelloWeb 的配置，确保文件访问权限设置正确。如果无法立即升级，可以尝试修改 download.asp 文件的代码，增加对 filepath 和 filename 参数的验证，防止目录遍历攻击。升级后，请确认漏洞已成功修复，可以通过尝试访问敏感文件来验证。

修复方法翻译中…

Actualizar a una versión parcheada o descontinuar el uso de HelloWeb 2.0. Como medida temporal, se puede implementar una validación exhaustiva de las entradas de usuario en los parámetros filepath y filename para prevenir el acceso a archivos no autorizados.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2020-37034 — 任意文件访问漏洞在 HelloWeb 2.0 中?

CVE-2020-37034 是 HelloWeb 2.0 中发现的一个漏洞，允许攻击者通过操纵参数下载系统文件。该漏洞的 CVSS 评分为 7.5 (高)，影响版本为 2.0。

我是否受到 CVE-2020-37034 在 HelloWeb 2.0 中的影响?

如果您正在使用 HelloWeb 2.0，则可能受到影响。请立即检查您的系统，并采取缓解措施或升级到修复版本。

我如何修复 CVE-2020-37034 在 HelloWeb 2.0 中的漏洞?

由于没有提供修复版本，建议您限制对 download.asp 文件的访问，并使用 WAF 或修改代码进行缓解。

CVE-2020-37034 是否正在被积极利用?

目前没有公开的漏洞利用代码，但由于漏洞原理简单，可能成为攻击者的目标。

在哪里可以找到 HelloWeb 官方关于 CVE-2020-37034 的公告?

请访问 HelloWeb 官方网站或安全公告页面，查找有关 CVE-2020-37034 的信息。