关键信息 漏洞 类型: Local File Inclusion (本地文件包含) - 需要身份验证 相关应用程序: BSA Radar 背景 应用程序功能: 银行应用程序,用于执行、审批、审查SWIFT交易、管理文档、用户和角色等 漏洞模块: 监控模块的管理员部分 描述 影响: 用户通过操纵URL中的 和 参数或使用代理,可以查看Web服务器上的本地文件 潜在危害: 查看本地敏感文件或配置文件 易受攻击的端点: 历史 披露时间: 2019年11月4日向供应商披露 CVE提交时间: 2020年6月19日 CVE编号: CVE-2020-14946 概念验证 (PoC) 有效请求示例: LFI利用请求示例: 影响 业务影响: 影响系统后端服务器内部文件的披露 受影响系统 版本: 1.6.7234.24750及以下版本的BSA Radar 解决方案 策略: 限制应用程序请求,拒绝访问当前应用程序和文件目录以外的文件 方法: 白名单输入字符以防止LFI或目录遍历攻击 参考 Mitre CVE-2020-14946 Exploit DB CVE_2020-14946 - Local File Inclusion 致谢 发现者: William Summerhill 披露时间线 供应商披露确认: 2019年11月,供应商确认 漏洞修复及验证: 2020年4月26日