漏洞关键信息 漏洞标识 CVE编号: CVE-2020-9368 漏洞概要 类别: 未认证任意文件读取 产品: Prestashop 模块 Olea Gift On Order 发布者: Oleacorner, 通过 Prestashop 的市场 标题: Olea Gift On Order - 未认证任意文件读取 发布日期: 2020年11月2日 风险等级 风险级别: 高 可利用性: 远程 影响: 技术信息泄露 漏洞描述 描述: Olea Gift On Order 模块在 PrestaShop 5.0.8 及以下版本中,允许未认证用户通过 getfile.php 文件以目录遍历的方式读取服务器上的任意文件。 利用方式: 由于 getfile.php 页面没有访问控制,任何未认证用户都可以在浏览器中调用此文件,通过设置 file 参数来获取 PrestaShop 文件夹内(包括子文件夹)的任意页面内容。由于 _PS_ROOT_DIR 变量被前置给被检索的文件,但对输入参数 file 没有过滤,用户可以通过在 file 参数值前附加 .. 来检索 PrestaShop 目录之外的文件。 影响版本 受影响版本: 5.0.8 及以下版本 解决方案 解决方案: 手动移除 getfile.php 文件,如 Oleacorner 所建议。该发布者不会提供补丁。 致谢 发现者: Florent BESNARD 来自 INTRINSEC 历史记录 时间线: - 2020年2月21日: Oleacorner 通过邮件联系 - 2020年2月22日: Prestashop 安全团队通过邮件联系 - 2020年2月24日: Prestashop 承认漏洞,从市场移除模块并通知发布者,分配 CVE-2020-9368 - 2020年2月25日: Oleacorner 承认漏洞并建议手动移除易受攻击的文件 - 2020年3月19日: INTRINSEC 向 Oleacorner 和 Prestashop 请求更新,未收到回复 - 2020年6月22日: INTRINSEC 向 Oleacorner 请求更新,未收到回复 - 2020年11月2日: 公告发布