关联漏洞
标题:MasterSAM Star Gate 安全漏洞 (CVE-2024-55457)Description:MasterSAM Star Gate是MasterSAM公司的一个应用程序。旨在管理、保护和监控整个企业 IT 环境中的特权凭证和访问。 MasterSAM Star Gate 11版本存在安全漏洞,该漏洞源于/adama/adama/downloadService未对文件路径进行限制。攻击者利用该漏洞可以通过操纵file参数访问服务器任意文件。
介绍
# CVE-2024-55457-PoC
MasterSAM Star Gate v11 is vulnerable to a directory traversal attack via the endpoint /adama/adama/downloadService. An attacker can exploit this vulnerability by manipulating the file parameter to access arbitrary files on the server, potentially leading to the exposure of sensitive information.
In the API responsible for downloading logs in the Troubleshooting -> Download Log feature, the application does not perform path validation for the file specified through the file parameter. Additionally, users can call this API without authentication.
GET /adama/adama/downloadService?type={}&file={} HTTP/1.1
文件快照
[4.0K] /data/pocs/0b9514c3c8c17be660614f1f2773b6c78f5f58e4
└── [ 757] README.md
0 directories, 1 file
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。