一、 漏洞 CVE-2023-51651 基础信息
漏洞标题
在AWS PHP SDK中的潜在URI解決路径遍历
来源:AIGC 神龙大模型
漏洞描述信息
AWS PHP SDK是亚马逊云服务的软件开发套件,用于PHP。在请求S3对象键和/或包含Unix双点符的前缀的范围内,可以实现URI路径遍历。在AWS PHP SDK v3 3.288.1之前的版本中,存在`buildEndpoint`方法在RestSerializer组件中的`buildEndpoint`方法的问题。该方法依赖于Guzzle Psr7UriResolver utility,该 utility 根据RFC 3986从请求路径中删除点片段。在某些情况下,这可能导致访问任意对象。该问题已在3.288.1版本中修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
Potential URI resolution path traversal in the AWS SDK for PHP
来源:美国国家漏洞数据库 NVD
漏洞描述信息
AWS SDK for PHP is the Amazon Web Services software development kit for PHP. Within the scope of requests to S3 object keys and/or prefixes containing a Unix double-dot, a URI path traversal is possible. The issue exists in the `buildEndpoint` method in the RestSerializer component of the AWS SDK for PHP v3 prior to 3.288.1. The `buildEndpoint` method relies on the Guzzle Psr7 UriResolver utility, which strips dot segments from the request path in accordance with RFC 3986. Under certain conditions, this could lead to an arbitrary object being accessed. This issue has been patched in version 3.288.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
AWS SDK for PHP 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Amazon AWS SDK for PHP是美国亚马逊(Amazon)公司的一款基于PHP平台的用于Amazon Web Services的软件开发工具包。 AWS SDK for PHP 3.288.1之前版本存在路径遍历漏洞,该漏洞源于存在URI路径遍历漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-51651 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-51651 的情报信息