一、 漏洞 CVE-2024-39943 基础信息
漏洞信息
# N/A
## 概述
rejetto HFS 在 Linux、UNIX 和 macOS 系统上的 0.52.10 之前版本中存在远程命令执行漏洞。该漏洞允许具有上传权限的远程认证用户执行操作系统命令。
## 影响版本
- rejetto HFS 3.x 版本,低于 0.52.10
## 细节
该漏洞发生在使用 shell 执行 `df` 命令时(即在 Node.js 中使用 `execSync` 而不是 `spawnSync`)。这导致具有上传权限的远程认证用户能够执行任意操作系统的命令。
## 影响
具有上传权限的远程认证用户可以通过该漏洞执行任意操作系统命令,从而对系统进行控制或造成其他危害。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
rejetto HFS (aka HTTP File Server) 3 before 0.52.10 on Linux, UNIX, and macOS allows OS command execution by remote authenticated users (if they have Upload permissions). This occurs because a shell is used to execute df (i.e., with execSync instead of spawnSync in child_process in Node.js).
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
rejetto HFS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
rejetto HFS是意大利Massimo Melina个人开发者的一款基于Web的文件服务器。 rejetto HFS 0.52.10之前版本存在安全漏洞,该漏洞源于允许经过身份验证的远程用户执行操作系统命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-39943 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | CVE-2024-39943 rejetto HFS (aka HTTP File Server) 3 before 0.52.10 on Linux, UNIX, and macOS allows OS command execution by remote authenticated users (if they have Upload permissions). This occurs because a shell is used to execute df (i.e., with execSync instead of spawnSync in child_process in Node.js). | https://github.com/truonghuuphuc/CVE-2024-39943-Poc | POC详情 |
| 2 | None | https://github.com/A-little-dragon/CVE-2024-39943-Exploit | POC详情 |
| 3 | None | https://github.com/JenmrR/Node.js-CVE-2024-39943 | POC详情 |
三、漏洞 CVE-2024-39943 的情报信息
-
标题: 404 Not Found -- 🔗来源链接
标签:
- https://github.com/rejetto/hfs/commit/305381bd36eee074fb238b64302a252668daad1d
- https://github.com/rejetto/hfs/compare/v0.52.9...v0.52.10
- https://nvd.nist.gov/vuln/detail/CVE-2024-39943
四、漏洞 CVE-2024-39943 的评论
暂无评论