Linux Distros 未修补的漏洞:CVE-2024-47883
critical Nessus 插件 ID 228334
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- MIT Simile Butterfly 服务器的 OpenRefine 分支是一个模块化 Web 应用程序框架。Butterfly 框架使用“java.net.URL”类来引用(预期为)本地资源文件,例如图像或模板。此操作有效:打开与这些 URL 的连接会打开本地文件。
然而在低于 版 1.2.6的版本中如果在需要相对路径资源名称的地方直接给出 `file:/` URL这在某些代码路径中也被接受然后该应用会从远程计算机如有指示提取该文件并将其作为应用程序代码库的受信任部分使用。这会导致多种弱点和潜在弱点。具有应用程序网络访问权限的攻击者可利用应用程序取得服务器文件系统路径遍历上或附近机器共享服务器端请求伪造如 SMB的文件的访问权限。如果攻击者能将用户引导或重定向至属于 应用程序的特制 URL便可造成将任意攻击者控制的 JavaScript 加载到受害者的浏览器中跨站脚本。如果编写应用程序的方式使攻击者可以影响用于模板的资源名称则该攻击者可导致该应用程序提取并执行攻击者控制的模板远程代码执行。版本 1.2.6 包含修补程序。 (CVE-2024-47883)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: Critical
ID: 228334
文件名: unpatched_CVE_2024_47883.nasl
版本: 1.2
类型: local
代理: unix
系列: Misc.
发布时间: 2025/3/5
最近更新时间: 2025/8/30
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.0
CVSS v2
风险因素: Medium
基本分数: 5.8
时间分数: 4.5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS 分数来源: CVE-2024-47883
CVSS v3
风险因素: Critical
基本分数: 9.1
时间分数: 8.2
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:openrefine-butterfly, p-cpe:/a:debian:debian_linux:openrefine-butterfly, cpe:/o:debian:debian_linux:12.0
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
可利用: true
易利用性: Exploits are available
漏洞发布日期: 2024/10/24
参考资料信息
CVE: CVE-2024-47883