CVE编号
CVE-2021-46398利用情况
暂无补丁情况
N/A披露时间
2022-02-05漏洞描述
A Cross-Site Request Forgery vulnerability exists in Filebrowser < 2.18.0 that allows attackers to create a backdoor user with admin privilege and get access to the filesystem via a malicious HTML webpage that is sent to the victim. An admin can run commands using the FileBrowser and hence it leads to RCE.解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| http://packetstormsecurity.com/files/165885/FileBrowser-2.17.2-Code-Execution... | |
| https://febin0x4e4a.blogspot.com/2022/01/critical-csrf-in-filebrowser.html | |
| https://febin0x4e4a.wordpress.com/2022/01/19/critical-csrf-in-filebrowser/ | |
| https://febinj.medium.com/critical-csrf-to-rce-in-filebrowser-865a3c34b8e7 | |
| https://github.com/filebrowser/filebrowser/commit/74b7cd8e81840537a8206317344... | |
| https://systemweakness.com/critical-csrf-to-rce-in-filebrowser-865a3c34b8e7 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | filebrowser | filebrowser | * |
Up to (excluding) 2.18.0 |
|||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 高
- 保密性 高
- 完整性 高
还没有评论,来说两句吧...