CVE-2021-21234 — 神龙十问 AI 深度分析摘要
CVSS 7.7 · High
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:路径遍历漏洞(Directory Traversal)。 💥 **后果**:攻击者可读取服务器上的**任意文件**,导致敏感信息泄露。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-22(路径遍历)。 🐛 **缺陷点**:`base` 参数未充分校验。虽然 `filename` 被保护,但通过构造 `base=../` 可突破限制。
Q3影响谁?(版本/组件)
📦 **组件**:`spring-boot-actuator-logview`。 👤 **厂商**:lukashinsch (Ffay)。 📉 **受影响版本**:**0.2.13 之前**的所有版本。
Q4黑客能干啥?(权限/数据)
👁️ **数据**:读取日志基目录之外的**任意文件**。 🔓 **权限**:获取文件内容(High Impact),但通常不涉及直接执行代码(No I/A)。
Q5利用门槛高吗?(认证/配置)
🔑 **认证**:需要 **Local Network** 访问权限(PR:L)。 ⚙️ **配置**:需暴露 Spring Boot Actuator 端点。非完全无认证,但门槛较低。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:有现成利用代码(GitHub 上有多个 Repo 提供 POC)。 🌍 **在野**:暂无大规模在野利用报道,但工具链已支持(Nuclei 模板等)。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 Maven 依赖是否包含 `eu.hinsch:spring-boot-actuator-logview` 且版本 < 0.2.13。 🧪 **扫描**:使用 Nuclei 模板 `CVE-2021-21234.yaml` 进行自动化检测。
Q8官方修了吗?(补丁/缓解)
✅ **补丁**:已修复。 🛠️ **方案**:升级至 **0.2.13** 或更高版本。这是唯一官方推荐的修复方式。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**: 1. 限制运行用户对非日志目录的**读取权限**。 2. 在反向代理后部署,**限制端点访问**。 3. 直接**删除依赖**(如果不需要该功能)。
Q10急不急?(优先级建议)
⚡ **优先级**:**高**。 📊 **CVSS**:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N。 💡 **建议**:尽快升级,防止敏感日志或配置文件泄露。