漏洞关键信息 漏洞类型: Local File Inclusion (LFI) 被影响的版本: 1.2.27 已修复的版本: 1.2.29 CVE ID: CVE-2024-45598 CVSS v3 严重性评分: 6.0/10 CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂性: 低 - 需要的权限: 高 - 用户交互: 无 - 范围: 未改变 - 机密性影响: 高 - 完整性影响: 低 - 可用性影响: 低 漏洞详情 摘要: 管理员可以更改 Poller Standard Error Log Path 参数,将其设置为服务器内部的本地文件。然后,只需转到 Logs 选项卡并选择本地文件的名称,即可在 Web UI 上查看其内容。 详细信息: 管理员可以通过在安装步骤 5 中或在 Configuration->Settings->Paths 标签下更改 Poller Standard Error Log Path 来查看服务器上的敏感文件内容,例如 或 。 PoC: 在安装步骤 5 或 Configuration->Settings->Paths 中将 Poller Standard Error Log Path 更改为 。 前往 Logs 选项卡并选择 passwd 文件。 影响: 此漏洞允许具有更改 Poller Standard Error Log Path 权限的用户查看服务器上的敏感文件。