平台
wordpress
组件
lenxel-core
修复版本
1.2.6
CVE-2024-53790描述了Ogun Labs Lenxel Core for Lenxel(LNX) LMS中的路径遍历漏洞。此漏洞允许攻击者通过构造恶意请求访问系统中的敏感文件,可能导致信息泄露或进一步的攻击。该漏洞影响Lenxel Core for Lenxel(LNX) LMS的版本小于等于1.2.5。已发布补丁版本1.2.6。
攻击者可以利用此路径遍历漏洞访问Lenxel Core for Lenxel(LNX) LMS服务器上的任意文件,只要他们能够构造一个有效的恶意请求。这可能包括读取配置文件、源代码、数据库备份或其他敏感数据。如果攻击者能够访问数据库备份,他们可能能够恢复数据并破坏系统。此外,攻击者可能利用此漏洞作为进一步攻击的跳板,例如执行远程代码或进行横向移动。由于LNX LMS通常用于管理学习内容和用户数据,因此此漏洞可能导致敏感的学习资料泄露,甚至用户个人信息被盗取。
目前,该漏洞的公开利用代码(POC)尚未广泛传播,但由于其相对简单的利用方式,存在被利用的风险。该漏洞已添加到CISA KEV目录,表明其具有中等概率被利用。建议密切关注安全社区的动态,以及是否有新的攻击活动出现。
Organizations utilizing Lenxel Core for Lenxel(LNX) LMS, particularly those with publicly accessible LMS instances or those who haven't implemented robust file access controls, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised user account could be leveraged to exploit this vulnerability.
• wordpress / composer / npm:
grep -r '../' /var/www/html/lenxel-core/*
grep -r '\.\.\/' /var/www/html/lenxel-core/*• generic web:
curl -I 'http://your-lms-url/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.34% (57% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将Lenxel Core for Lenxel(LNX) LMS升级至1.2.6版本或更高版本。如果升级会中断现有系统,可以考虑回滚到之前的稳定版本,并实施额外的安全措施。此外,建议配置Web应用程序防火墙(WAF)或代理服务器,以过滤掉包含路径遍历攻击模式的请求。审查Lenxel Core for Lenxel(LNX) LMS的配置,确保文件访问权限受到适当限制。监控系统日志,查找可疑的文件访问活动。
Actualice el plugin Lenxel Core a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a usuarios no autorizados acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-53790描述了Lenxel Core for Lenxel(LNX) LMS中存在的路径遍历漏洞,攻击者可利用此漏洞访问未经授权的文件。
如果您的Lenxel Core for Lenxel(LNX) LMS版本小于等于1.2.5,则您可能受到此漏洞的影响。
立即将Lenxel Core for Lenxel(LNX) LMS升级至1.2.6版本或更高版本。
虽然目前没有广泛的公开利用代码,但由于漏洞的简单性,存在被利用的风险。
请访问Ogun Labs官方网站或Lenxel Core for Lenxel(LNX) LMS的官方文档,查找相关安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。