一、 漏洞 CVE-2024-46977 基础信息
漏洞标题
OpenC3 COSMOS屏幕控制器存在目录遍历漏洞(`GHSL-2024-127`)
来源:AIGC 神龙大模型
漏洞描述信息
OpenC3 COSMOS 提供了向一个或多个嵌入式系统发送命令和接收数据所需的功能。LocalMode 的 open_local_file 方法中存在一个路径遍历漏洞,允许具有足够权限的经过身份验证的用户通过 web 服务器上的 ScreensController#show 下载任意 .txt 文件(取决于文件权限)。此漏洞在 5.19.0 版本中已修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
OpenC3 COSMOS allows a path traversal via screen controller (`GHSL-2024-127`)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
OpenC3 COSMOS provides the functionality needed to send commands to and receive data from one or more embedded systems. A path traversal vulnerability inside of LocalMode's open_local_file method allows an authenticated user with adequate permissions to download any .txt via the ScreensController#show on the web server COSMOS is running on (depending on the file permissions). This vulnerability is fixed in 5.19.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
OpenC3 COSMOS 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
OpenC3 COSMOS是OpenC3开源的一个应用程序。 OpenC3 COSMOS 5.19.0之前版本存在路径遍历漏洞。攻击者利用该漏洞通过运行Web服务器上的ScreensController#show下载任何.txt文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-46977 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-46977 的情报信息

  • 标题: Path traversal via screen controller (`GHSL-2024-127`) · Advisory · OpenC3/cosmos · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Path traversal via screen controller (`GHSL-2024-127`) · Advisory · OpenC3/cosmos · GitHub

  • 标题: Fix path traversal vulnerabilities · OpenC3/cosmos@a34e61a · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    Fix path traversal vulnerabilities · OpenC3/cosmos@a34e61a · GitHub

  • 标题: GHSL-2024-127_GHSL-2024-129: Remote Code Execution (RCE) via Cross-Site Scripting (XSS) in OpenC3 COSMOS - CVE-2024-43795, CVE-2024-46977, CVE-2024-47529 | GitHub Security Lab -- 🔗来源链接

    标签: x_refsource_MISC

    GHSL-2024-127_GHSL-2024-129: Remote Code Execution (RCE) via Cross-Site Scripting (XSS) in OpenC3 COSMOS - CVE-2024-43795, CVE-2024-46977, CVE-2024-47529 | GitHub Security Lab
  • https://nvd.nist.gov/vuln/detail/CVE-2024-46977