平台
linux
组件
oliver-library-server
修复版本
8.00.008.053
CVE-2021-47755 是 Oliver Library Server 中的一个任意文件访问漏洞。该漏洞允许未经身份验证的攻击者通过操纵 FileServlet 端点的输入参数,访问服务器文件系统中的敏感文件。此漏洞影响 Oliver Library Server 5.0.0 至 8.00.008.053 版本。已发布补丁,建议立即升级。
攻击者可以利用此漏洞下载服务器上的任何文件,包括配置文件、数据库备份、源代码和其他敏感信息。成功利用此漏洞可能导致数据泄露、系统配置被篡改,甚至可能导致进一步的攻击。由于该漏洞无需身份验证,攻击者可以匿名访问受影响的系统,扩大了攻击范围。如果服务器存储了用户数据,则可能导致用户隐私泄露,并面临合规性风险。
目前尚未公开可用的漏洞利用代码,但该漏洞的严重性较高,存在被利用的风险。该漏洞已于 2026-01-15 公开披露。建议密切关注安全社区的动态,并及时采取缓解措施。
Organizations running Oliver Library Server, particularly those with publicly accessible instances or those lacking robust web application firewalls, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users.
• linux / server:
journalctl -u oliver_library_server -g 'FileServlet' | grep -i 'fileName='• generic web:
curl -I 'http://<server_ip>/oliver/FileServlet?fileName=<suspicious_filename>' | grep '200 OK'disclosure
漏洞利用状态
EPSS
0.06% (18% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Oliver Library Server 升级至 8.00.008.053 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制对 FileServlet 端点的访问,例如通过防火墙规则或 Web 应用防火墙 (WAF) 阻止未经授权的请求。监控 FileServlet 端点的访问日志,以检测可疑活动。如果无法实施这些措施,请考虑禁用 FileServlet 端点,但这可能会影响系统的正常功能。升级后,请检查服务器文件系统,确认没有未经授权的文件访问痕迹。
将 Oliver Library Server 更新到 8.00.008.053 或更高版本以缓解任意文件下载漏洞。 确保应用 Softlink Education 提供的最新安全更新以保持系统安全。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2021-47755 是 Oliver Library Server 5.0.0 至 8.00.008.053 版本中发现的任意文件访问漏洞,攻击者可以通过操纵 FileServlet 端点的输入参数访问服务器文件系统中的敏感文件。
如果您运行 Oliver Library Server 5.0.0 至 8.00.008.053 版本,则可能受到此漏洞的影响。请立即检查您的系统并采取缓解措施。
最有效的修复方法是立即将 Oliver Library Server 升级至 8.00.008.053 或更高版本。
虽然目前尚未公开可用的漏洞利用代码,但该漏洞的严重性较高,存在被利用的风险。
请访问 Oliver 官方网站或安全公告页面,查找关于 CVE-2021-47755 的官方公告。