HIGHCVE-2023-40494CVSS 8.2

LG Simple Editor deleteFolder 目录遍历任意文件删除漏洞

平台

windows

组件

lg-simple-editor

修复版本

3.21.1

AI Confidence: highNVDEPSS 39.9%已审阅: 2026年5月

在NVD查看

保存

CVE-2023-40494 是 LG Simple Editor 中的一个目录遍历漏洞，允许未经身份验证的远程攻击者删除系统上的任意文件。该漏洞源于 deleteFolder 方法中用户提供的路径未经过适当验证。受影响的版本包括 3.21.0。建议尽快升级到已修复的版本，或实施缓解措施以降低风险。

影响与攻击场景

攻击者可以利用此漏洞删除系统上的任意文件，从而导致严重的数据丢失和系统不稳定。由于无需身份验证即可利用此漏洞，因此攻击面非常广。攻击者可能删除关键系统文件，导致服务中断或完全瘫痪。此外，攻击者可能删除敏感数据，导致数据泄露。该漏洞的潜在影响类似于其他目录遍历漏洞，可能导致未经授权的访问和修改。

利用背景

该漏洞已公开披露，并已添加到 NVD 数据库中。目前尚无已知的公开利用程序，但由于漏洞的严重性和易利用性，建议尽快采取缓解措施。CISA 尚未将其添加到 KEV 目录中，但由于其高 CVSS 评分和潜在影响，应密切关注。

哪些人处于风险中翻译中…

Organizations utilizing LG Simple Editor, particularly those with older versions (3.21.0 and prior), are at risk. Environments with limited network segmentation or those lacking robust file permission controls are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be affected, as a compromised user could potentially exploit this vulnerability to impact other users.

检测步骤翻译中…

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*LG Simple Editor*'} | Stop-ScheduledTask

• windows / supply-chain:

Get-Process | Where-Object {$_.ProcessName -like '*LG Simple Editor*'} | Stop-Process -Force

• windows / supply-chain: Check Autoruns for entries related to LG Simple Editor that might indicate persistence mechanisms. • windows / supply-chain: Monitor Windows Defender for alerts related to suspicious file deletion activity in the LG Simple Editor installation directory.

攻击时间线

2024-05-03Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

39.85% (97% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件lg-simple-editor

供应商LG

影响范围修复版本

LG Simple Editor 3.21.0 – LG Simple Editor 3.21.03.21.1

弱点分类 (CWE)

CWE-22

时间线

已保留2023-08-14
发布日期2024-05-03
修改日期2024-09-18
EPSS 更新日期2026-04-02

未修复 — 披露已751天

缓解措施和替代方案

由于 LG Simple Editor 3.21.0 存在漏洞，建议立即升级到已修复的版本。如果无法立即升级，可以考虑以下缓解措施：限制对 LG Simple Editor 的访问，仅允许授权用户访问。实施严格的文件访问控制，防止未经授权的删除操作。监控 LG Simple Editor 的日志文件，查找可疑活动。如果可能，配置 Web 应用防火墙 (WAF) 以阻止目录遍历攻击。使用文件完整性监控工具来检测未经授权的文件更改。

修复方法翻译中…

Actualizar a una versión parcheada del LG Simple Editor, si está disponible. De lo contrario, desinstale el software para evitar la vulnerabilidad. Como medida de mitigación, evite abrir archivos de fuentes no confiables.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2023-40494 — 目录遍历漏洞在 LG Simple Editor 中？

CVE-2023-40494 是 LG Simple Editor 3.21.0 版本中的一个目录遍历漏洞，允许攻击者删除系统上的任意文件，无需身份验证。

我是否受到 CVE-2023-40494 在 LG Simple Editor 中影响？

如果您正在使用 LG Simple Editor 3.21.0 版本，则您可能受到此漏洞的影响。请立即升级到已修复的版本。

我如何修复 CVE-2023-40494 在 LG Simple Editor 中？

建议立即升级到已修复的版本。如果无法升级，请实施缓解措施，例如限制访问和实施文件访问控制。

CVE-2023-40494 是否正在被积极利用？

目前尚无已知的公开利用程序，但由于漏洞的严重性和易利用性，建议尽快采取缓解措施。

在哪里可以找到 LG Simple Editor 中 CVE-2023-40494 的官方公告？

请访问 LG 的官方网站或 NVD 数据库以获取有关 CVE-2023-40494 的更多信息。