支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2024-2863 基础信息
漏洞信息
                                        # 通过LG LED Assistant的文件上传实现路径穿越

## 概述
此漏洞允许远程攻击者通过文件上传功能在受影响的LG LED Assistant中进行路径遍历攻击。

## 影响版本
未提供具体版本信息

## 细节
攻击者可以通过文件上传功能执行路径遍历攻击,访问或读取应用程序之外的文件系统路径。

## 影响
攻击者可以利用此漏洞访问受保护的文件或敏感数据,从而导致信息泄露或其他安全问题。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞允许远程攻击者通过受影响的LG LED Assistant上的文件上传功能进行路径遍历。这意味着攻击者可以利用此漏洞上传文件到服务器的任意路径,或访问服务器上不应该公开访问的文件,这显然是一个服务端的漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Path traversal via file upload on LG LED Assistant
来源:美国国家漏洞数据库 NVD
漏洞描述信息
This vulnerability allows remote attackers to traverse paths via file upload on the affected LG LED Assistant.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
路径遍历:’…/…//’
来源:美国国家漏洞数据库 NVD
漏洞标题
LG LED Assistant 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
LG LED Assistant是韩国乐金(LG)公司的一个软件。用于设置 LED 灯。 LG LED Assistant存在安全漏洞。远程攻击者利用该漏洞通过上传文件来遍历路径。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-2863 的公开POC
#POC 描述源链接神龙链接
1A path traversal vulnerability exists in the endpoint handler for /api/thumbnail in Common.js. An unauthenticated remote attacker can exploit this to upload arbitrary files to any location on the disk drive where the product is installed. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-2863.yamlPOC详情
三、漏洞 CVE-2024-2863 的情报信息
四、漏洞 CVE-2024-2863 的评论

暂无评论

发表评论