一、 漏洞 CVE-2019-17221 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
PhantomJS自2.1.1版本起存在一个可读任意文件漏洞,这通过一个文件:// URI的XMLHttpRequest示例得到了证明。该漏洞存在于页面模块的page.open()函数中,该函数加载指定的URL并调用指定的回调函数。攻击者可以通过提供特别构造的HTML文件作为用户输入,允许在文件系统中读取任意文件。例如,如果page.render()是回调函数,则生成目标文件的PDF或图像。注意:该产品已停止开发。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
PhantomJS through 2.1.1 has an arbitrary file read vulnerability, as demonstrated by an XMLHttpRequest for a file:// URI. The vulnerability exists in the page.open() function of the webpage module, which loads a specified URL and calls a given callback. An attacker can supply a specially crafted HTML file, as user input, that allows reading arbitrary files on the filesystem. For example, if page.render() is the function callback, this generates a PDF or an image of the targeted file. NOTE: this product is no longer developed.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
PhantomJS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
PhantomJS是一款用于自动化网页交互的无头浏览器。 PhantomJS 2.1.1及之前版本中的网页模块的‘page.open()’函数存在安全漏洞。攻击者可借助特制的HTML文件利用该漏洞读取文件系统上任意文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-17221 的公开POC
# POC 描述 源链接 神龙链接
1 PhantomJS uses internal module: webpage, to open, close, render, and perform multiple actions on webpages, which suffers from an arbitrary file read vulnerability. The vulnerability exists in the page.open() function of the webpage module, which loads the specified URL and calls a given callback. When opening a HTML file, an attacker can supply specially crafted file content, which allows reading arbitrary files on the filesystem. The vulnerability is demonstrated by using page.render() as the function callback, resulting in the generation of a PDF or an image of the targeted file. https://github.com/h4ckologic/CVE-2019-17221 POC详情
三、漏洞 CVE-2019-17221 的情报信息