漏洞关键信息 概要 LearnHouse 未能从上传的图像中剥离 EXIF 元数据。由于课程可以公开列出(在搜索引擎上),用户的隐私存在风险。图像包含用户的位置(GPS)、设备详情、相机详情和时间戳。 漏洞详情 类型: 信息泄露 CVE: CWE-200: 向未经授权的参与者暴露敏感信息 影响产品 厂商: LearnHouse 产品: learnhouse 受影响版本: 所有版本至 commit 38cdfa7(发现时的最新版本) 影响端点 每个文件上传 技术描述 应用程序存储和提供上传的图像,没有进行清理,保留了嵌入的 EXIF 元数据,包括 GPS 坐标、设备信息和时间戳。 如何被利用: 1. 任何威胁者可以简单下载你的图像/个人资料图片。 2. 他们可以在任何 EXIF 查看器上查看你的元数据信息(GPS、电话、相机详情等)。 影响 由于 LearnHouse 是一个教育平台,且课程可以公开列出,对用户保密性的影响很高。 任何未授权用户可以找到你的详细信息。 学生欺凌、教师安全妥协、轻微剥削风险等。 概念验证 1. 上传一张带有 EXIF 数据的图像作为你的个人资料图片。 2. 上传后,你下载它。 3. 然后在 EXIF 查看器如 http://exif.regex.info/ 上,你可以查看所有的元数据细节。 推荐解决方案 在所有图像上传端点实施服务器端 EXIF 元数据剥离,使用以下库: - Node.js: (推荐), , 或 - Python: 带有元数据移除 - PHP: 带有 在存储前立即处理图像。保留图像方向数据,但移除所有其他 EXIF、IPTC 和 XMP 元数据。