一、 漏洞 CVE-2024-51998 基础信息
漏洞标题
changedetection.io中存在目录遍历漏洞
来源:AIGC 神龙大模型
漏洞描述信息
changedetection.io 是一个免费的开源网页变更检测工具。该工具对于文件URI模式的验证不足,导致攻击者能够读取系统中的任意文件。此问题仅影响启用了webdriver且`ALLOW_FILE_URI`设置为false或未定义的实例。用于检查URL协议的`is_safe_url`函数允许`file:`作为URL模式。它随后检查是否允许本地文件,但检查的一个前提条件是URL以`file://`开头。问题在于文件URI模式无需包含双斜杠。此漏洞已在0.47.06版本中得到解决,建议所有用户进行升级。目前尚无针对此漏洞的解决方法。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
Path traversal using file URI scheme without supplying hostname in changedetection.io
来源:美国国家漏洞数据库 NVD
漏洞描述信息
changedetection.io is a free open source web page change detection tool. The validation for the file URI scheme falls short, and results in an attacker being able to read any file on the system. This issue only affects instances with a webdriver enabled, and `ALLOW_FILE_URI` false or not defined. The check used for URL protocol, `is_safe_url`, allows `file:` as a URL scheme. It later checks if local files are permitted, but one of the preconditions for the check is that the URL starts with `file://`. The issue comes with the fact that the file URI scheme is not required to have double slashes. This issue has been addressed in version 0.47.06 and all users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
changedetection.io 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
changedetection.io是dgtlmoon个人开发者的一个网站变更检测、监控和通知应用程序。 changedetection.io 0.47.06版本之前存在路径遍历漏洞,该漏洞源于文件URI方案的验证不充分。攻击者利用该漏洞能够读取系统上的任何文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-51998 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-51998 的情报信息

  • 标题: Path traversal using file URI scheme without supplying hostname · Advisory · dgtlmoon/changedetection.io · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Path traversal using file URI scheme without supplying hostname · Advisory · dgtlmoon/changedetection.io · GitHub

  • 标题: CVE-2024-51998 - file:/ path traversal access should not be allowed t… · dgtlmoon/changedetection.io@49bc982 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    CVE-2024-51998 - file:/ path traversal access should not be allowed t… · dgtlmoon/changedetection.io@49bc982 · GitHub

  • 标题: changedetection.io/changedetectionio/model/Watch.py at e0abf0b50507a8a3d0c1d8522ab23519b3e4cdf4 · dgtlmoon/changedetection.io · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    changedetection.io/changedetectionio/model/Watch.py at e0abf0b50507a8a3d0c1d8522ab23519b3e4cdf4 · dgtlmoon/changedetection.io · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2024-51998