VideoFlow Digital Video Protection DVP 10 认证目录遍历漏洞 (2.10) 漏洞概述 漏洞类型:认证目录遍历 (Authenticated Directory Traversal) 漏洞编号:CVE-2018-25311 CVSS 评分:MEDIUM (中等) CVSS 向量:CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 描述:VideoFlow Digital Video Protection DVP 2.10 存在一个认证目录遍历漏洞。攻击者可以通过在 ID 参数中注入路径遍历序列,披露任意文件。攻击者可以提交请求到 、 、 、 或 ,利用目录遍历载荷读取敏感系统文件(如 )。 影响范围 受影响产品:VideoFlow Digital Video Protection 受影响版本:<= 1.0, 1.40.0.15, 1.40.0.15, 2.10.0.5 修复方案 页面未提供具体的补丁版本或修复代码。 建议参考官方发布的更新或安全公告进行升级。 参考链接 Exploit-DB: ExploitDB-44386 Vulnerability Advisory: Vulnerability Advisory 致谢 LiquidWorm 作为 Gjoko Krstic 在 Zero Science Lab 的身份报告了此漏洞。