从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:LFI through /file= parameter and URL encoding in binary-husky/gpt_academic - 报告日期:2024年10月2日 - 报告者:Dan McInerney - 漏洞类型:CWE-22: Path Traversal - 严重性:高(7.5) 2. 漏洞利用: - 利用方法:通过URL编码与文件参数结合,允许攻击者通过路径遍历来查看主机系统上的任何文件。 - 利用示例:使用URL编码与文件参数结合,可以绕过当前目录,查看主机系统上的任意文件。 3. 影响: - 影响范围:允许攻击者查看主机系统上的任何敏感文件,包括关键应用程序文件、SSH密钥、API密钥、配置值等。 4. 发生位置: - 文件位置:fastapi_server.py L1 5. 参考链接: - CWE定义:https://cwe.mitre.org/data/definitions/73.html 6. 状态更新: - 状态:待修复 - 披露奖金:$300 - 修复奖金:$75 - 发现者:Ethan Silvas 7. 社区互动: - 社区管理员:已与二进制husky/gpt_academic团队联系,正在处理报告。 - 发现者:已修改报告并提供漏洞利用示例。 - 验证者:Marcello 已验证此漏洞。 8. CVE编号:CVE-2024-10100 这些信息提供了关于漏洞的详细描述、影响范围、发现者和社区互动的详细情况。