一、 漏洞 CVE-2021-29425 基础信息
漏洞信息
                                        # Apache Commons IO 中可能存在的有限路径遍历漏洞

## 漏洞概述
在 Apache Commons IO 2.7 之前的版本中,当使用 FileNameUtils.normalize 方法处理不恰当的输入字符串时(例如 `//../foo` 或 `\\..\foo`),结果将保持不变。这可能会允许攻击者访问父目录中的文件,从而导致受限的路径遍历漏洞。

## 影响版本
- Apache Commons IO 2.7 之前的版本

## 漏洞细节
当使用 FileNameUtils.normalize 方法处理包含相对路径(如 `//../foo` 或 `\\..\foo`)的输入字符串时,该方法未能正确规范化路径。结果是返回的路径与输入路径相同,导致攻击者可以通过此路径访问上一级目录中的文件。

## 漏洞影响
虽然该漏洞允许访问父目录中的文件,但不会进一步向上遍历更多级目录,因此被归类为受限的路径遍历。如果调用代码使用该结果来构造路径值,则可能会造成安全问题,允许未经授权的文件访问。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Possible limited path traversal vulnerabily in Apache Commons IO
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Apache Commons IO before 2.7, When invoking the method FileNameUtils.normalize with an improper input string, like "//../foo", or "\\..\foo", the result would be the same value, thus possibly providing access to files in the parent directory, but not further above (thus "limited" path traversal), if the calling code would use the result to construct a path value.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Commons IO 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Commons IO是美国阿帕奇(Apache)基金会的一个应用程序。提供一个帮助开发IO功能。 Apache Commons IO 2.2版本至2.6版本存在路径遍历漏洞,该漏洞源于当使用不正确的输入字符串(例如“ //../foo”或“ .. foo”)调用FileNameUtils.normalize方法时,则可能会提供对父目录中文件的访问权限。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-29425 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/arsalanraja987/java-cve-2021-29425-tika-xxe POC详情
三、漏洞 CVE-2021-29425 的情报信息
四、漏洞 CVE-2021-29425 的评论

暂无评论

发表评论