cym1102 nginxWebUI addOver findCountByQuery path traversal 漏洞信息(CVE-2024-3737)

一、漏洞 CVE-2024-3737 基础信息

漏洞标题

cym1102 nginxWebUI addOver findCountByQuery 路径遍历漏洞

来源：AIGC 神龙大模型

漏洞描述信息

在cym1102 nginxWebUI的3.9.9及之前版本中发现了一个漏洞，该漏洞被评定为严重。受此问题影响的是/adminPage/www/addOver文件中的findCountByQuery功能。对dir参数的操纵会导致路径遍历漏洞。攻击可以远程发起。该漏洞的利用方法已公开，可能会被利用。此漏洞的标识符为VDB-260576。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

对路径名的限制不恰当(路径遍历)

来源：AIGC 神龙大模型

漏洞标题

cym1102 nginxWebUI addOver findCountByQuery path traversal

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A vulnerability was found in cym1102 nginxWebUI up to 3.9.9. It has been rated as critical. Affected by this issue is the function findCountByQuery of the file /adminPage/www/addOver. The manipulation of the argument dir leads to path traversal. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-260576.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

对路径名的限制不恰当(路径遍历)

来源：美国国家漏洞数据库 NVD

漏洞标题

nginxWebUI 路径遍历漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

nginxWebUI是一款nginx网页配置工具。 nginxWebUI 3.9.9 版本存在路径遍历漏洞，该漏洞源于 /adminPage/www/addOver 文件的 findCountByQuery 方法的 dir 参数存在路径遍历。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

路径遍历

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-3737 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-3737 的情报信息

https://github.com/cym1102/nginxWebUI/issues/138 issue-tracking
https://github.com/cym1102/nginxWebUI/files/14818455/nginxwebui.rce.3.9.9.pdf exploit
https://vuldb.com/?ctiid.260576 signature permissions-required
https://vuldb.com/?id.260576 vdb-entry technical-description
https://nvd.nist.gov/vuln/detail/CVE-2024-3737

一、 漏洞 CVE-2024-3737 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-3737 的公开POC

三、漏洞 CVE-2024-3737 的情报信息

一、漏洞 CVE-2024-3737 基础信息