LogicalDOC Enterprise 7.7.4 目录遍历漏洞 (ZSL-2018-5450)

关键信息总结 漏洞标题: LogicalDOC Enterprise 7.7.4 Multiple Directory Traversal Vulnerabilities 漏洞ID: ZSL-2018-5450 类型: Local/Remote 风险级别: 4/5 发布日期: 11.02.2018 影响:暴露系统信息,暴露敏感信息 漏洞描述: - 应用程序存在多个post-auth文件泄露漏洞, 在'suffix'和'fileVersion'参数未被正确验证即用于包含文件时, 可被利用读取本地资源的任意文件, 发动目录遍历攻击. 受影响版本: - 7.7.4 - 7.7.3 - 7.7.2 - 7.7.1 - 7.6.4 - 7.6.2 - 7.5.1 - 7.4.2 - 7.1.1 测试环境: - Microsoft Windows 10 - Linux Ubuntu 16.04 - Java 1.8.0_161 - Apache-Coyote/1.1 - Apache Tomcat/8.5.24 - Apache Tomcat/8.5.13 - Undisclosed 8.41 厂商状态: - 26.01.2018: 漏洞被发现 - 30.01.2018: 联系厂商 - 07.02.2018: 厂商未回应 - 09.02.2018: 再次联系厂商 - 10.02.2018: 厂商未回应 - 11.02.2018: 公开安全建议发布 漏洞利用证明: logicaldoc_lfi.txt 发现者: Gjoko Krstic -

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

LogicalDOC Enterprise 7.7.4 目录遍历漏洞 (ZSL-2018-5450)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！