HIGHCVE-2023-40517CVSS 7.5

LG SuperSign Media Editor ContentRestController getObject 目录遍历信息泄露漏洞

Q: 什么是CVE-2023-40517 — 目录遍历漏洞在LG SuperSign Media Editor中？

CVE-2023-40517是一个目录遍历漏洞，影响LG SuperSign Media Editor 3.11.3_20171108–3.11.3_20171108版本，攻击者可以利用此漏洞泄露敏感信息，无需身份验证。

Q: 我是否受到CVE-2023-40517在LG SuperSign Media Editor中的影响？

如果您正在使用LG SuperSign Media Editor 3.11.3_20171108–3.11.3_20171108版本，则可能受到此漏洞的影响。

平台

other

组件

lg-supersign-media-editor

修复版本

3.11.4

AI Confidence: highNVDEPSS 1.3%已审阅: 2026年5月

在NVD查看

保存

CVE-2023-40517 描述了LG SuperSign Media Editor中的一个目录遍历漏洞，允许未经身份验证的远程攻击者泄露敏感信息。该漏洞存在于ContentRestController类的getObject方法中，由于缺乏对用户提供的路径的适当验证，导致攻击者可以访问系统中的敏感文件。该漏洞影响LG SuperSign Media Editor 3.11.320171108–3.11.320171108版本，建议用户尽快采取缓解措施。

影响与攻击场景

该目录遍历漏洞允许攻击者绕过正常的访问控制机制，直接访问服务器上的文件系统。攻击者可以利用此漏洞读取包含敏感信息的文件，例如配置文件、数据库凭证、源代码或其他专有数据。由于无需身份验证即可利用此漏洞，攻击者可以轻松地扫描目标系统，并利用此漏洞获取敏感信息。如果攻击者能够访问包含用户凭证的文件，他们还可以利用这些凭证进行横向移动，访问其他系统和资源。该漏洞的潜在影响包括数据泄露、系统入侵和业务中断。

利用背景

目前尚未公开发现针对CVE-2023-40517的公开利用代码，但该漏洞的严重性较高，存在被利用的风险。该漏洞已添加到CISA KEV目录中，表明其具有较高的潜在威胁。建议用户密切关注安全社区的动态，并及时采取缓解措施。

哪些人处于风险中翻译中…

Organizations utilizing LG SuperSign Media Editor for digital signage and media management are at risk, particularly those with older, unpatched installations. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to the disclosure of data belonging to other users.

检测步骤翻译中…

• linux / server:

journalctl -u LGSuperSignMediaEditor | grep -i "directory traversal"

• generic web:

curl -I 'http://<target>/ContentRestController/getObject?path=../../../../etc/passwd'  # Check for 200 OK and sensitive file content in headers

攻击时间线

2024-05-03Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

1.25% (79% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响total

CVSS 向量

受影响的软件

组件lg-supersign-media-editor

供应商LG

影响范围修复版本

3.11.3_20171108 – 3.11.3_201711083.11.4

弱点分类 (CWE)

CWE-22

时间线

已保留2023-08-14
发布日期2024-05-03
修改日期2024-08-02
EPSS 更新日期2026-04-02

未修复 — 披露已751天

缓解措施和替代方案

由于LG尚未提供官方修复版本，建议采取以下缓解措施。首先，限制对LG SuperSign Media Editor的访问，只允许授权用户访问。其次，实施Web应用防火墙（WAF）或反向代理，以过滤恶意请求并阻止目录遍历攻击。第三，定期审查系统日志，以检测可疑活动。第四，如果可能，考虑将LG SuperSign Media Editor隔离到受保护的网络段中。最后，密切关注LG官方发布的更新和安全公告，一旦发布修复版本，立即进行升级。

修复方法翻译中…

Actualizar LG SuperSign Media Editor a una versión que corrija la vulnerabilidad de directory traversal. Consultar al proveedor LG para obtener la versión actualizada o aplicar las mitigaciones recomendadas.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2023-40517 — 目录遍历漏洞在LG SuperSign Media Editor中？

CVE-2023-40517是一个目录遍历漏洞，影响LG SuperSign Media Editor 3.11.320171108–3.11.320171108版本，攻击者可以利用此漏洞泄露敏感信息，无需身份验证。

我是否受到CVE-2023-40517在LG SuperSign Media Editor中的影响？

如果您正在使用LG SuperSign Media Editor 3.11.320171108–3.11.320171108版本，则可能受到此漏洞的影响。

我如何修复CVE-2023-40517在LG SuperSign Media Editor中？

由于LG尚未发布修复版本，建议采取缓解措施，例如限制访问、实施WAF和定期审查日志。

CVE-2023-40517是否正在被积极利用？

目前尚未公开发现针对CVE-2023-40517的公开利用代码，但该漏洞的严重性较高，存在被利用的风险。

在哪里可以找到LG SuperSign Media Editor官方针对CVE-2023-40517的安全公告？

请关注LG官方网站的安全公告页面，以获取有关CVE-2023-40517的最新信息。