ZhiHuiYun Search ImageController.php download_network_image server-side request forgery 漏洞信息(CVE-2024-0649)

一、漏洞 CVE-2024-0649 基础信息

漏洞标题

智汇云搜索图片控制器.php 下载网络图片服务器端请求伪造

来源：AIGC 神龙大模型

漏洞描述信息

ZhiHuiYun的4.4.13及以下版本存在漏洞，被列为严重级别。该漏洞影响组件Search的/app/Http/Controllers/ImageController.php文件中的download_network_image函数。通过操纵参数url，可能会导致服务器端请求伪造。攻击可能从远程进行。此漏洞已被公开披露，可能被利用。此漏洞的关联标识符为VDB-251375。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

服务端请求伪造(SSRF)

来源：AIGC 神龙大模型

漏洞标题

ZhiHuiYun Search ImageController.php download_network_image server-side request forgery

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A vulnerability was found in ZhiHuiYun up to 4.4.13 and classified as critical. This issue affects the function download_network_image of the file /app/Http/Controllers/ImageController.php of the component Search. The manipulation of the argument url leads to server-side request forgery. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-251375.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

服务端请求伪造(SSRF)

来源：美国国家漏洞数据库 NVD

漏洞标题

ZhiHuiYun 代码问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

ZhiHuiYun是智慧云（ZhiHuiYun）公司的一个智慧校园解决方案。 ZhiHuiYun 4.4.13及之前版本存在代码问题漏洞，该漏洞源于/app/Http/Controllers/ImageController.php中的download_network_image函数的参数url存在服务器端请求伪造（SSRF）漏洞。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

代码问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-0649 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-0649 的情报信息

https://vuldb.com/?id.251375 vdb-entry technical-description
https://vuldb.com/?ctiid.251375 signature permissions-required
https://note.zhaoj.in/share/jC6NMe5TRSys broken-link exploit
https://nvd.nist.gov/vuln/detail/CVE-2024-0649

一、 漏洞 CVE-2024-0649 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-0649 的公开POC

三、漏洞 CVE-2024-0649 的情报信息

一、漏洞 CVE-2024-0649 基础信息