CVE-2023-52332 是 Allegra 中的目录遍历漏洞,允许远程攻击者泄露敏感信息。该漏洞源于 serveMathJaxLibraries 方法中用户提供的路径未经过适当验证。受影响的版本包括 Allegra 7.5.0 build 29。已发布修复版本 7.5.1。
攻击者可以利用此漏洞访问 Allegra 服务器上的敏感文件,例如配置文件、数据库备份或包含用户凭据的文件。成功利用此漏洞可能导致未经授权访问系统、数据泄露和进一步的系统破坏。由于无需身份验证即可利用此漏洞,因此攻击范围广泛,潜在影响巨大。泄露的凭据可能被用于横向移动,访问其他系统和数据。
该漏洞已公开披露,并被分配了 CVSS 7.5 (高) 评级。目前没有已知的公开利用程序,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞最初由 ZDI-CAN-22532 报告。
Organizations using Allegra versions 7.5.0 build 29 and earlier, particularly those hosting Allegra on publicly accessible servers or shared hosting environments, are at significant risk. Systems with weak file permissions or inadequate access controls are also more vulnerable.
disclosure
漏洞利用状态
EPSS
1.85% (83% 百分位)
CISA SSVC
CVSS 向量
首要缓解措施是立即将 Allegra 升级至 7.5.1 版本或更高版本。如果无法立即升级,可以考虑限制对 Allegra 服务器的访问,仅允许授权用户访问。此外,可以实施 Web 应用防火墙 (WAF) 规则,以检测和阻止目录遍历攻击。监控 Allegra 服务器上的日志文件,以查找可疑活动,例如对敏感文件的异常访问尝试。在升级后,确认漏洞已修复,通过尝试访问受影响的路径来验证。
Actualice Allegra a la versión 7.5.1 o posterior. Esta versión corrige la vulnerabilidad de recorrido de directorios en el método serveMathJaxLibraries.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2023-52332 是 Allegra 中的一个目录遍历漏洞,允许攻击者访问服务器上的敏感文件。该漏洞的 CVSS 评分为 7.5 (高)。
如果您正在使用 Allegra 7.5.0 build 29 版本,则您可能受到此漏洞的影响。请尽快升级至 7.5.1 版本或更高版本。
修复此漏洞的最佳方法是升级至 Allegra 7.5.1 版本或更高版本。如果无法立即升级,请实施 Web 应用防火墙规则并限制对 Allegra 服务器的访问。
目前没有已知的公开利用程序,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请查阅 Allegra 官方网站或安全公告页面,以获取有关此漏洞的更多信息和官方公告。