关键漏洞信息 漏洞标题: Skin font upload file can be manipulated to be a path CVE编号: CVE-2022-45133 影响版本: - Mahara 21.10 - Mahara 22.04 - Mahara 22.10 - Mahara 23.04 状态: Fix Released 重要性: High 修复里程碑: - Mahara 21.10.6 - Mahara 22.04.4 - Mahara 22.10.1 - Mahara 23.04.0 漏洞描述 当导入皮肤时,如果XML标记中的字体部分包含路径信息的字符串,可能会导致潜在的安全问题。例如: 攻击者可以通过在 部分放置可执行的有效载荷,并将其放置在 目录中来利用此漏洞。 解决方案 需要通过确保仅使用字符串的文件名部分,并验证文件名是有效的字体文件类型来加固系统。