根据提供的网页截图,以下是关于该漏洞的总结: 漏洞概述 漏洞编号: CVE-2024-28876 漏洞名称: Path Traversal Leading to Unintended File Write in application-creator-engine 描述: 在 组件中,由于对 参数缺乏适当的验证,导致路径遍历漏洞。攻击者可以利用此漏洞将文件写入到预期目录之外的位置。 严重性: 高 (High) CVSS 评分: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L) 影响范围 受影响组件: 受影响版本: 所有版本 (All versions) 受影响代码片段: 涉及 中的 函数,具体位于 文件。 修复方案 建议: 在将用户提供的路径与基础目录连接之前,必须对路径进行规范化(normalize)和验证,确保最终路径位于预期的基础目录内。 具体代码修复: 使用 和 来确保路径安全,并检查最终路径是否以预期的基础目录开头。 POC 代码 / 利用代码 页面中包含了一个名为 "Proof of Concept (PoC)" 的代码块,展示了如何利用该漏洞: 此外,页面底部还有一个 "Attack Chain" 部分,展示了更复杂的利用场景,包含以下代码片段: CVE-2024-28876: Path Traversal Leading to Unintended File Write in application-creator-engine 漏洞概述 漏洞编号: CVE-2024-28876 漏洞名称: Path Traversal Leading to Unintended File Write in application-creator-engine 描述: 在 组件中,由于对 参数缺乏适当的验证,导致路径遍历漏洞。攻击者可以利用此漏洞将文件写入到预期目录之外的位置。 严重性: 高 (High) CVSS 评分: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L) 影响范围 受影响组件: 受影响版本: 所有版本 (All versions) 受影响代码片段: 涉及 中的 函数,具体位于 文件。 修复方案 建议: 在将用户提供的路径与基础目录连接之前,必须对路径进行规范化(normalize)和验证,确保最终路径位于预期的基础目录内。 具体代码修复: 使用 和 来确保路径安全,并检查最终路径是否以预期的基础目录开头。 POC 代码 / 利用代码 页面中包含了一个名为 "Proof of Concept (PoC)" 的代码块,展示了如何利用该漏洞: 此外,页面底部还有一个 "Attack Chain" 部分,展示了更复杂的利用场景,包含以下代码片段: