CVE-2018-20094

描述

An issue was discovered in XXL-CONF 1.6.0. There is a path traversal vulnerability via `../` in the keys parameter that can download any configuration file, related to `ConfController.java` and `PropUtil.java`.

如何修補 CVE-2018-20094

目前尚未發布修補版本。可考慮移除受影響套件,或參考下方連結中的上游建議。

• Maven/com.xuxueli:xxl-conf-admin—未列出修補版本

CVE-2018-20094 正在被利用嗎?

低 — EPSS 為 0.4%,目前沒有觀察到大規模利用活動。

受影響套件(1)

• from 0, <= 1.6.0

CVSS 分數

參考連結(4)

• ADVISORYnvd.nist.gov/vuln/detail/CVE-2018-20094
• PATCHgithub.com/xuxueli/xxl-conf
• WEBgithub.com/xuxueli/xxl-conf/blob/6726dfe7979ea6d8fb983771471cde69789de632/xxl-conf-admin/src/main/java/com/xxl/conf/admin/controller/ConfController.java
• WEBgithub.com/xuxueli/xxl-conf/issues/61