警惕安装漏洞:LibreNMS 1.31前版本存在任意文件读取风险

本文详细分析了CVE-2017-16759漏洞,该漏洞影响LibreNMS 1.31之前的所有版本,允许远程攻击者利用安装过程中的缺陷读取服务器上的任意文件,属于路径遍历类中危安全漏洞。

漏洞概要

CVE ID: CVE-2017-16759 漏洞名称: LibreNMS Arbitrary File Read GHSA ID: GHSA-4ccx-wjqp-5fww 严重等级: Moderate (中等) CVSS 3.0 分数: 5.9

受影响版本

  • 受影响版本: LibreNMS 1.31 之前的所有版本
  • 已修复版本: 1.31

漏洞描述

在 2017年8月18日 之前发布的 LibreNMS 版本中,其安装过程存在安全缺陷,允许远程攻击者读取服务器上的任意文件。此漏洞与 html/install.php 文件相关。

技术细节与影响

  • 攻击向量: 网络 (AV:N)
  • 攻击复杂度: 高 (AC:H)
  • 所需权限: 无 (PR:N)
  • 用户交互: 无 (UI:N)
  • 安全范围: 未改变 (S:U)
  • 影响:
    • 机密性影响: 高 (C:H) - 可导致敏感信息泄露。
    • 完整性影响: 无 (I:N)
    • 可用性影响: 无 (A:N)
  • 关联弱点: CWE-22 - 路径遍历。具体表现为产品使用外部输入来构造路径名,但未能正确过滤特殊元素,导致路径解析到受限目录之外的位置。

参考链接

  1. NVD漏洞详情: https://nvd.nist.gov/vuln/detail/CVE-2017-16759

  2. 相关修复提交:

    • librenms/librenms@7887b2e
    • librenms/librenms@d3094fa

  3. LibreNMS官方博客通告: https://blog.librenms.org/2017/08/22/librenms-security-fix-during-the-installation-process

时间线

  • NVD公布日期: 2017年11月9日
  • GitHub安全公告数据库收录日期: 2022年5月13日
  • GitHub审核日期: 2023年7月26日
  • 最后更新日期: 2025年12月5日

其他信息

  • EPSS评分: 0.009% (第一百分位),表示未来30天内被利用的概率估计较低。
  • 漏洞报告者: murrant
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次