关键信息提取 漏洞概述 漏洞类型: LFI (Local File Inclusion) 漏洞 影响范围: OpenStack Dashboard (Horizon) 平台在创建Workbook时可能存在的LFI漏洞。 测试版本: Victoria Horizon 18.6.3 漏洞描述 漏洞利用方式: 1. 创建一个文本文件 ,内容为: 2. 选择 3. 在 "Definition Source" 中选择 "File" 并浏览 文件,点击 后可以读取 文件内容。 影响项目 受影响的项目: - python-mistralclient: 状态: Fix Released, 重要性: Critical - mistral: 状态: Invalid - OpenStack Dashboard (Horizon): 状态: Invalid - OpenStack Security Advisory: 状态: Won't Fix 关键时间点 发现日期: 2021-06-10 修复状态: - 已修复并发布 - 在不同分支已修复并发布到多个版本中 修复进展与讨论 修复建议: - 技术细节: 通过将“definition”参数拆分为“definition_contents”和“definition_filename”以避免文件内容的双重加载。 - 讨论焦点: 包括对功能设计初衷的讨论、错误处理、以及对补丁的不同修复方案的评估与选择。 修复合并: - 的修复补丁已合并到多个稳定分支。 其他信息 CVE编号申请: 在问题修复后进行中,探讨CVE编号申请流程。 公开披露: 该漏洞在IRC上已公开讨论,不再保留为私人安全报告,转为公开安全报告。