一、 漏洞 CVE-2019-0207 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Tapestry 在处理 `/assets/ctx` 资源时,使用了 `StaticFilesFilter -> AssetDispatcher -> ContextResource` 类的链,但没有过滤 `\` 字符,这使得攻击者可以在 Windows 平台上执行路径遍历攻击以读取任意文件。

## 影响版本
未提供具体版本信息。

## 漏洞细节
Tapestry 在处理 `/assets/ctx` 路径时依赖于 `StaticFilesFilter -> AssetDispatcher -> ContextResource` 类链,但由于没有对 `\` 字符进行过滤,攻击者可能利用未过滤的 `\` 字符进行路径遍历攻击,从而访问服务器上任意文件。

## 影响
该漏洞可能允许攻击者在 Windows 平台上遍历服务器文件系统并读取任意文件,从而造成信息泄露。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Tapestry processes assets `/assets/ctx` using classes chain `StaticFilesFilter -> AssetDispatcher -> ContextResource`, which doesn't filter the character `\`, so attacker can perform a path traversal attack to read any files on Windows platform.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Tapestry 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Tapestry是美国阿帕奇(Apache)软件基金会的一款使用Java语言编写的Web应用程序框架。 Apache Tapestry 5.4.0版本(包括betas版本)至5.4.4版本中存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-0207 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/shoucheng3/asf__tapestry-5_CVE-2019-0207_5-4-4 POC详情
2 None https://github.com/shoucheng3/tapestry-5-cve-2019-0207 POC详情
3 None https://github.com/shoucheng3/asf__tapestry-5_CVE-2019-0207_5_4_5_fixed POC详情
三、漏洞 CVE-2019-0207 的情报信息
四、漏洞 CVE-2019-0207 的评论

暂无评论

发表评论