CVE-2022-50890 是 Owlfiles File Manager 12.0.1 版本中发现的路径遍历漏洞。该漏洞允许攻击者通过精心构造的 GET 请求访问设备上的敏感系统文件和目录,可能导致信息泄露或进一步的攻击。受影响的版本为 12.0.1。建议用户尽快升级到安全版本或采取适当的缓解措施。
攻击者可以利用此路径遍历漏洞访问 Owlfiles File Manager 运行设备的敏感系统目录。通过构造包含诸如“../”的目录遍历序列的 GET 请求,攻击者可以绕过访问控制,读取任意文件。这可能导致攻击者获取配置信息、数据库凭证或其他敏感数据。更严重的后果包括攻击者利用这些信息进行进一步的攻击,例如代码执行或系统控制。由于 Owlfiles File Manager 通常在 Android 设备上运行,因此此漏洞可能影响移动设备上的数据安全。
目前没有公开的漏洞利用程序 (PoC),但该漏洞的严重性较高,存在被利用的风险。该漏洞已于 2026-01-13 公开,尚未被添加到 CISA KEV 目录。建议密切关注安全社区的动态,并及时采取缓解措施。
Users of Android devices running Owlfiles File Manager version 12.0.1 are at direct risk. Shared hosting environments or devices with weak access controls are particularly vulnerable, as an attacker could potentially leverage this vulnerability to gain broader access to the system. Users who store sensitive data within the file manager's accessible directories are also at increased risk.
• android / file-manager:
Get-InstalledPackage -Name "Owlfiles File Manager"• android / file-manager:
# Check for suspicious files in accessible directories
Get-ChildItem -Path /data/data/com.owlfiles.filemanager/files/ -Recurse -ErrorAction SilentlyContinue | Where-Object {$_.Name -match "..\"}• android / file-manager:
# Check for unusual network activity related to the file manager
netstat -an | grep :8080 # Assuming default portdisclosure
漏洞利用状态
EPSS
0.44% (63% 百分位)
CISA SSVC
CVSS 向量
由于目前没有官方的安全补丁,建议采取以下缓解措施。首先,限制 Owlfiles File Manager 的访问权限,只允许其访问必要的目录。其次,配置防火墙或 Web 应用防火墙 (WAF),以阻止包含目录遍历序列的请求。此外,定期监控系统日志,以检测可疑的访问行为。如果无法立即升级,可以考虑回滚到之前的版本,但需要评估其对其他功能的影响。最后,确保 Owlfiles File Manager 运行的 Android 设备已应用最新的安全更新。
升级到 Owlfiles 文件管理器的最新可用版本以缓解路径遍历漏洞。请在相应的应用商店中检查更新。在应用更新之前,避免打开来自不可信来源的文件。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2022-50890 是 Owlfiles File Manager 12.0.1 版本中发现的路径遍历漏洞,允许攻击者访问设备上的敏感系统目录。
如果您正在使用 Owlfiles File Manager 12.0.1 版本,则可能受到此漏洞的影响。
目前没有官方补丁,建议采取缓解措施,例如限制访问权限、配置 WAF 和定期监控日志。
目前没有公开的利用程序,但存在被利用的风险。
请访问 Owlfiles 官方网站或相关安全论坛,查找有关此漏洞的官方公告。
上传你的 build.gradle 文件,立即知道是否受影响。