HIGHCVE-2024-31457CVSS 7.7

gin-vue-admin 后台任意代码覆盖漏洞

Q: 什么是 CVE-2024-31457 — 代码注入 in gin-vue-admin?

CVE-2024-31457 是 gin-vue-admin 后台管理系统发现的一处代码注入漏洞，允许攻击者通过操纵 `plugName` 参数进行目录遍历，可能导致代码执行。

平台

vue

组件

gin-vue-admin

修复版本

0.0.1

AI Confidence: highNVDEPSS 0.3%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-31457 是 gin-vue-admin 后台管理系统发现的一处代码注入漏洞。该漏洞允许攻击者通过操纵 plugName 参数进行目录遍历，进而创建恶意文件，可能导致系统代码执行。该漏洞影响 gin-vue-admin 版本小于或等于 0.0.0-20240409100909-b1b7427c6ea6 的用户。已发布补丁版本 0.0.0-20240409100909-b1b7427c6ea6。

影响与攻击场景

攻击者利用此代码注入漏洞，可以在受影响的 gin-vue-admin 系统中创建任意文件，例如 api, config, global, model, router, service 目录下的 main.go 文件。通过创建和控制这些文件，攻击者可以注入恶意代码，从而执行任意命令，窃取敏感数据，甚至完全控制整个系统。如果攻击者能够成功注入恶意代码，可能导致数据泄露、系统被篡改、服务中断等严重后果。该漏洞的潜在影响范围取决于 gin-vue-admin 在系统中的角色和权限，以及系统所存储的数据敏感性。

利用背景

目前尚未公开该漏洞的详细利用方案，但根据漏洞描述，攻击者可以通过构造特定的 plugName 参数进行目录遍历，并创建恶意文件。该漏洞已发布在 NVD 数据库中，CISA 尚未将其添加到 KEV 目录。由于该漏洞影响开源项目，存在被恶意利用的风险，建议尽快采取缓解措施。

哪些人处于风险中翻译中…

Organizations using gin-vue-admin for their backend management systems are at risk, particularly those running older, unpatched versions. Shared hosting environments where multiple users have access to the plugin management features are especially vulnerable, as a compromised plugin could affect the entire hosting instance. Any deployment relying on the default plugin template functionality without proper input validation is also at increased risk.

检测步骤翻译中…

• linux / server:

find /opt/gin-vue-admin/plugins/ -name '*api*.go' -o -name '*config*.go' -o -name '*global*.go' -o -name '*model*.go' -o -name '*router*.go' -o -name '*service*.go' -o -name '*main.go*' 2>/dev/null

• generic web:

curl -I 'http://your-gin-vue-admin-instance/plugins/api/some..directory.go' # Check for 403 or other error indicating traversal is blocked

攻击时间线

2024-04-09Disclosure
disclosure
2024-04-09Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.33% (56% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件gin-vue-admin

供应商flipped-aurora

影响范围修复版本

< 0.0.0-20240409100909-b1b7427c6ea6 – < 0.0.0-20240409100909-b1b7427c6ea60.0.1

弱点分类 (CWE)

CWE-22

时间线

已保留2024-04-03
发布日期2024-04-09
修改日期2024-08-02
EPSS 更新日期2026-04-02

缓解措施和替代方案

针对 CVE-2024-31457 漏洞，最有效的缓解措施是立即升级到修复版本 0.0.0-20240409100909-b1b7427c6ea6。如果升级过程存在兼容性问题，建议先进行测试环境验证，并考虑回滚到之前的稳定版本。此外，可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求，阻止攻击者利用 plugName 参数进行目录遍历。同时，应加强对 Plugin System -> Plugin Template 功能的输入验证，防止恶意参数的注入。升级后，请确认新版本已正确安装并配置，并通过测试用例验证漏洞已修复。

修复方法翻译中…

Actualice gin-vue-admin a la versión 0.0.0-20240409100909-b1b7427c6ea6 o posterior. Como alternativa, implemente manualmente el método de filtrado disponible en el GitHub Security Advisory para corregir el problema de directory traversal. Esto evitará la inyección de código arbitrario a través del parámetro `plugName`.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-31457 — 代码注入 in gin-vue-admin?

CVE-2024-31457 是 gin-vue-admin 后台管理系统发现的一处代码注入漏洞，允许攻击者通过操纵 plugName 参数进行目录遍历，可能导致代码执行。

我是否受到 CVE-2024-31457 in gin-vue-admin 的影响?

如果您使用的 gin-vue-admin 版本小于或等于 0.0.0-20240409100909-b1b7427c6ea6，则可能受到影响。

如何修复 CVE-2024-31457 in gin-vue-admin?

立即升级到修复版本 0.0.0-20240409100909-b1b7427c6ea6。

CVE-2024-31457 是否正在被积极利用?

目前尚未公开详细利用方案，但存在被恶意利用的风险，建议尽快采取缓解措施。

在哪里可以找到 gin-vue-admin 官方针对 CVE-2024-31457 的公告?

请查阅 gin-vue-admin 官方网站或 GitHub 仓库获取相关安全公告。