返回列表

Drogon 任意文件写入漏洞（CVE-2022-25297）

CVE: CVE-2022-25297

CNVD: 暂无

CNNVD: 暂无

漏洞类型: 文件上传

漏洞等级: 高危

年份: 2022

POC_ID: 106

漏洞描述

Drogon是一个基于C++14/17的Http应用框架,使用Drogon可以方便的使用C++构建各种类型的Web应用服务端程序。近日监测到Drogon存在任意文件写入漏洞,在HttpFileImpl类的save函数中没有判断上传文件名是否含有恶意路径,导致攻击者可以构造畸形的上传路径,在目标服务器上写入任意文件。当使用该框架构建Web程序,且引入HttpFileImpl类的save函数保存文件则易受该漏洞攻击。

影响范围

Drogon < 1.7.5

漏洞详情

登录后可查看漏洞详情。请先登录或注册。

漏洞 POC

登录后可查看漏洞 POC。请先登录或注册。

修复建议

升级 Drogon 至 1.7.5 或更高版本:

参考来源

https://github.com/drogonframework/drogon/releases/tag/v1.7.5