从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:cgi.force_redirect配置由于环境变量冲突而可被绕过。 - 发布者:bukka - 发布日期:2周前 - 严重性:中等(Moderate) - CVSS评分:5.3/10 2. 受影响的版本: - 受影响的版本:< 8.1.30, < 8.2.24, < 8.3.12 - 已修复的版本:8.1.30, 8.2.24, 8.3.12 3. 漏洞详情: - 默认值:cgi.force_redirect的默认值为1。 - 环境变量冲突:REDIRECT_STATUS或HTTP_REDIRECT_STATUS被认为是合法的环境变量,而cgi.force_redirect是开启的。 - 代码片段: - 影响:Redirect-Status头被转换为HTTP_REDIRECT_STATUS环境变量,允许攻击者通过HTTP头绕过cgi.force_redirect配置。 4. 影响: - 描述:虽然在大多数常见配置中,这不会带来显著的安全风险,但某些修改SCRIPT_FILENAME环境变量的配置可能会允许任意文件包含。 这些信息可以帮助理解漏洞的性质、影响范围以及如何修复。