从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 模块:OSS Endpoint Manager - 受影响版本:<= 14.0.3 - 已修复版本:14.0.4 2. 漏洞影响: - 漏洞类型:允许未授权的web用户访问系统文件,权限与web服务器进程相同。 - 漏洞利用:通过登录到FreePBX的web GUI,使用具有访问Endpointman OSS模块权限的用户,可以下载服务器上任何文件。 3. 漏洞细节: - URL:http://server/admin/config.php?display=epm_advanced&subpage=manual_upload&command=export_brands_availables_file&file_package=.../.../.../.../etc/freepbx.conf - 问题文件和行号:https://github.com/FreePBX-ContributedModules/endpointman/blob/7ee3571fad7a067e0d1beaeb5e5a0a16b6da55fa/Endpointman_Advanced.class.php#L1054 4. 修复建议: - 修复方法:升级到OSS endpointmain版本14.0.4。 - 其他版本:其他版本的用户应联系他们的fork维护者。 5. 漏洞严重性: - CVSS v3:6.8/10 - 分类:网络,低攻击复杂性,低特权要求,高用户交互,改变范围,高机密性,高完整性,高可用性,高影响,高可用性,高影响 6. 漏洞编号:CVE-2024-47071 7. 贡献者: - 报告者:vsc55 - 分析师:chrsmj 这些信息可以帮助理解漏洞的性质、影响范围以及如何进行修复。