CylancePro Path Traversal in /api/batches/import Leading to Arbitrary File Write

Based on the provided image, I need to extract and summarize the key information about the vulnerability in Chinese. 1. Vulnerability Overview (漏洞概述): Title: Path traversal in '/api/batches/import' allows arbitrary file write outside intended data directory. Description: The summary states that the endpoint allows an authenticated attacker to write attacker-controlled files outside the intended data directory by specifying an arbitrary filename via parameter. Impact: Arbitrary file write outside the intended data directory. Possible code execution if the attacker can upload PHP files. Availability issues if the attacker can upload and overwrite PHP functions. Confidentiality issues if the attacker can upload and read local processing backend files. Severity: High (CVSS v3.1: 8.1). 2. Affected Scope (影响范围): Affected Version: 漏洞总结：路径遍历漏洞允许在预期数据目录之外写入任意文件 漏洞概述 该漏洞存在于 接口。认证攻击者可以通过 参数指定任意文件名，从而在预期的数据目录之外写入攻击者控制的文件。 影响范围 受影响版本: < 1.16.0 修复版本: 1.17.0 严重程度: 高 (CVSS v3.1: 8.1) 潜在影响: 在预期数据目录之外进行任意文件写入。 如果攻击者可以上传 PHP 文件，可能导致代码执行。 如果攻击者可以上传并覆盖 PHP 函数，可能导致可用性破坏。 如果攻击者可以上传并读取本地处理后端文件，可能导致机密性泄露。 修复方案 升级到版本 1.17.0。修复涉及在 控制器中对 参数进行清理（使用 ）。 POC / 利用代码 JSON Payload: Curl 命令:

目標達成すべての支援者に感謝 — 100%達成しました！

CylancePro Path Traversal in /api/batches/import Leading to Arbitrary File Write

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

CylancePro Path Traversal in /api/batches/import Leading to Arbitrary File Write

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！