漏洞信息
# Vendure asset server plugin 存在本地文件读取漏洞,涉及 AssetServerPlugin 和 LocalAssetStorageStrategy
# 漏洞描述
## 概述
Vendure是一款开源的无头 commerce 平台。在 3.0.5 和 2.3.3 之前的版本中,Vendure 的资产服务器插件存在一个漏洞,允许攻击者通过构造请求遍历服务器文件系统并获取任意文件的内容,包括配置文件、环境变量和其他关键数据等敏感信息。此外,还存在通过畸形URI导致服务器崩溃的风险。
## 影响版本
- 低于 3.0.5 的 3.x 分支版本
- 低于 2.3.3 的 2.x 分支版本
## 细节
该漏洞允许攻击者通过特制的请求来遍历服务器文件系统,获取任意文件的内容,涉及敏感信息泄露。此外,在同一个处理路径中还存在着通过发送畸形URI来导致服务器崩溃的额外攻击向量。
## 影响
受影响版本的Vendure平台存在文件遍历和敏感信息泄露的风险,攻击者能获取配置文件、环境变量等敏感信息;同时还有可能导致服务器崩溃的风险。建议升级到 3.0.5 和 2.3.3 版本来修复该漏洞。
## 解决方案
- 升级到版本 3.0.5 或 2.3.3。
- 使用对象存储代替本地文件系统,例如 MinIO 或 S3。
- 定义中间件以检测并阻止包含 `/../` URL 的请求。
备注
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Vendure asset server plugin has local file read vulnerability with AssetServerPlugin & LocalAssetStorageStrategy
漏洞描述信息
Vendure is an open-source headless commerce platform. Prior to versions 3.0.5 and 2.3.3, a vulnerability in Vendure's asset server plugin allows an attacker to craft a request which is able to traverse the server file system and retrieve the contents of arbitrary files, including sensitive data such as configuration files, environment variables, and other critical data stored on the server. In the same code path is an additional vector for crashing the server via a malformed URI. Patches are available in versions 3.0.5 and 2.3.3. Some workarounds are also available. One may use object storage rather than the local file system, e.g. MinIO or S3, or define middleware which detects and blocks requests with urls containing `/../`.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
Vendure 输入验证错误漏洞
漏洞描述信息
Vendure是Vendure开源的一个电子商务框架。 Vendure 3.0.5和2.3.3之前版本存在输入验证错误漏洞,该漏洞源于攻击者可以制作一个请求,该请求能够遍历服务器文件系统并检索任意文件的内容,包括敏感数据。
CVSS信息
N/A
漏洞类别
输入验证错误