一、 漏洞 CVE-2022-21230 基础信息
漏洞标题
信息暴露
来源:AIGC 神龙大模型
漏洞描述信息
此问题影响了org.nanohttpd:nanohttpd所有版本。当HTTP会话解析HTTP请求的主体时,如果请求主体大于1024字节,则将请求主体写入到一个RandomAccessFile。这个文件使用不安全的权限创建,允许主机上的所有用户查看其内容。**临时解决方法:**在启动Java时手动指定-Djava.io.tmpdir=参数,将临时目录设置为当前用户独占控制的目录,可以解决这个问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
Information Exposure
来源:美国国家漏洞数据库 NVD
漏洞描述信息
This affects all versions of package org.nanohttpd:nanohttpd. Whenever an HTTP Session is parsing the body of an HTTP request, the body of the request is written to a RandomAccessFile when the it is larger than 1024 bytes. This file is created with insecure permissions that allow its contents to be viewed by all users on the host machine. **Workaround:** Manually specifying the -Djava.io.tmpdir= argument when launching Java to set the temporary directory to a directory exclusively controlled by the current user can fix this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
NanoHTTPD 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
NanoHTTPD是一个轻量级 HTTP 服务器,设计用于嵌入其他应用程序,在修改后的 BSD 许可证下发布。 NanoHTTPD 包的所有版本存在安全漏洞。该漏洞源于在HTTP Session解析HTTP请求体时,当它大于1024字节时,请求体被写入RandomAccessFile。 这个文件是用不安全的权限创建的,允许主机上的所有用户查看它的内容。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-21230 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2022-21230 的情报信息