漏洞信息
# Solara中的本地文件包含漏洞
## 漏洞概述
Solara 是一个纯 Python 的框架,采用 React 风格,用于扩展 Jupyter 和 Web 应用。在 widgetti/solara 版本 <1.35.1 中发现了一个本地文件包含(LFI)漏洞,此漏洞在版本 1.35.1 中已修复。
## 影响版本
- 版本 <1.35.1
## 漏洞细节
该漏洞源自应用程序在处理静态文件时未能正确验证 URI 片段中的目录遍历序列(如 `../`)。攻击者可以通过操纵 URI 的片段部分,读取本地文件系统上的任意文件。
## 影响
攻击者可以利用此漏洞读取服务器上的任意文件,从而导致敏感信息泄露。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Local File Inclusion in Solara
漏洞描述信息
Solara is a pure Python, React-style framework for scaling Jupyter and web apps. A Local File Inclusion (LFI) vulnerability was identified in widgetti/solara, in version <1.35.1, which was fixed in version 1.35.1. This vulnerability arises from the application's failure to properly validate URI fragments for directory traversal sequences such as '../' when serving static files. An attacker can exploit this flaw by manipulating the fragment part of the URI to read arbitrary files on the local file system.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
Solara 安全漏洞
漏洞描述信息
Solara是widgetti开源的一个纯 Python、React 风格的框架。用于扩展 Jupyter 和 Web 应用程序。 Solara 1.35.1之前版本存在安全漏洞,该漏洞源于未能正确验证目录遍历序列的URI片段,攻击者利用此漏洞可以读取本地文件系统上的任意文件。
CVSS信息
N/A
漏洞类别
其他