平台
other
组件
shirasagi
修复版本
1.19.2
CVE-2024-46898 描述了 SHIRASAGI 软件中存在的路径遍历漏洞。该漏洞允许攻击者通过精心构造的 HTTP 请求,访问服务器上的敏感文件。受影响的版本包括 SHIRASAGI 的所有版本低于 1.19.1 的实例。已发布安全补丁,建议用户尽快升级。
该路径遍历漏洞的潜在影响非常严重。攻击者可以利用此漏洞读取服务器上的任何文件,包括配置文件、源代码、数据库凭据和其他敏感信息。成功利用此漏洞可能导致数据泄露、系统入侵,甚至完全控制受影响的服务器。攻击者可能通过在 HTTP 请求中包含恶意路径来利用此漏洞,绕过正常的访问控制机制。由于 SHIRASAGI 经常用于处理用户上传的文件,因此该漏洞可能被用于在服务器上执行恶意代码。
目前尚无公开的漏洞利用代码 (PoC),但该漏洞的严重性较高,且易于利用,因此存在被利用的风险。该漏洞已于 2024 年 10 月 15 日公开披露。CISA 尚未将其添加到 KEV 目录,但建议密切关注相关信息。
Organizations deploying SHIRASAGI, particularly those with publicly accessible instances, are at risk. Systems with older, unpatched versions of SHIRASAGI are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be affected, as a compromise of one user's SHIRASAGI instance could potentially lead to access for other users.
disclosure
漏洞利用状态
EPSS
0.97% (77% 百分位)
CISA SSVC
CVSS 向量
缓解此漏洞的首要措施是立即升级到 SHIRASAGI 的最新版本 1.19.1。如果无法立即升级,可以考虑以下临时缓解措施:限制 SHIRASAGI 的访问权限,只允许来自受信任来源的请求。实施严格的输入验证,过滤掉任何可能包含恶意路径的输入。使用 Web 应用防火墙 (WAF) 来检测和阻止恶意请求。监控 SHIRASAGI 的日志文件,查找任何可疑活动。升级后,请验证漏洞是否已成功修复,例如通过尝试访问受保护的文件,确认访问被拒绝。
Actualice SHIRASAGI a la versión 1.19.1 o posterior. Esta actualización corrige la vulnerabilidad de path traversal que permite la recuperación de archivos arbitrarios en el servidor. Consulte las notas de la versión y el commit en GitHub para obtener más detalles sobre la corrección.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-46898 描述了 SHIRASAGI 软件版本低于 1.19.1 的实例中存在的路径遍历漏洞,攻击者可以通过构造恶意的 HTTP 请求读取服务器上的任意文件。
如果您正在使用 SHIRASAGI 的版本低于 1.19.1,则您可能受到此漏洞的影响。请立即检查您的版本并升级。
最有效的修复方法是升级到 SHIRASAGI 的最新版本 1.19.1。如果无法立即升级,请采取缓解措施,例如限制访问权限和实施输入验证。
目前尚无公开的漏洞利用代码,但由于漏洞的严重性和易用性,存在被利用的风险。
请访问 SHIRASAGI 官方网站或安全公告页面,查找有关 CVE-2024-46898 的详细信息和更新。