OpenRefine has a path traversal in LoadLanguageCommand 漏洞信息(CVE-2024-49760)

一、漏洞 CVE-2024-49760 基础信息

漏洞标题

OpenRefine LoadLanguageCommand存在路径穿越漏洞

来源：AIGC 神龙大模型

漏洞描述信息

OpenRefine是一款免费的开源工具，用于处理杂乱的数据。在版本3.8.3之前的版本中，load-language命令预期接收一个`lang`参数，根据该参数构造要加载的本地化文件路径，格式为`translations-$LANG.json`。但在执行过程中，它并未检查生成的路径是否位于预期的目录中，这意味着该命令可能被利用来读取文件系统中的其他JSON文件。3.8.3版本解决了此问题。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

对路径名的限制不恰当(路径遍历)

来源：AIGC 神龙大模型

漏洞标题

OpenRefine has a path traversal in LoadLanguageCommand

来源：美国国家漏洞数据库 NVD

漏洞描述信息

OpenRefine is a free, open source tool for working with messy data. The load-language command expects a `lang` parameter from which it constructs the path of the localization file to load, of the form `translations-$LANG.json`. But when doing so in versions prior to 3.8.3, it does not check that the resulting path is in the expected directory, which means that this command could be exploited to read other JSON files on the file system. Version 3.8.3 addresses this issue.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

对路径名的限制不恰当(路径遍历)

来源：美国国家漏洞数据库 NVD

漏洞标题

OpenRefine 路径遍历漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

OpenRefine是一款基于Java的开源工具。该产品主要用于加载数据、分析数据和清理数据等。 OpenRefine 3.8.3版本之前存在路径遍历漏洞，该漏洞源于load-language命令的lang参数缺少检查，导致路径遍历

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

路径遍历

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-49760 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-49760 的情报信息

标题： Path traversal in LoadLanguageCommand · Advisory · OpenRefine/OpenRefine · GitHub -- 🔗来源链接

标签： x_refsource_CONFIRM
神龙速读
标题： Prevent directory slip in LoadLanguageCommand · OpenRefine/OpenRefine@24d0840 · GitHub -- 🔗来源链接

标签： x_refsource_MISC
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2024-49760

一、 漏洞 CVE-2024-49760 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-49760 的公开POC

三、漏洞 CVE-2024-49760 的情报信息

一、漏洞 CVE-2024-49760 基础信息