CVE-2021-4463 - 龙晶科技BEMS API <= 1.21 远程任意文件下载漏洞
概述
龙晶科技BEMS API 1.21及以下版本存在未授权任意文件下载漏洞。该漏洞位于’downloads’端点,‘fileName’参数未经过适当清理,允许攻击者构造遍历序列访问预期目录外的敏感文件。
漏洞详情
漏洞描述:龙晶科技BEMS API 1.21及以下版本在’downloads’端点包含一个未授权的任意文件下载漏洞。‘fileName’参数未经过适当清理,允许攻击者构造遍历序列并访问预期目录外的敏感文件。
发布时间:2025年11月12日 22:15 最后修改:2025年11月12日 22:15 远程利用:是 来源:disclosure@vulncheck.com
受影响产品
目前尚未记录受影响的具体产品信息 总受影响供应商:0 | 产品:0
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.7 | CVSS 4.0 | 高危 | - | - | - | 83251b91-4cc7-4094-a5c7-464a1b83ea10 |
| 8.7 | CVSS 4.0 | 高危 | - | - | - | disclosure@vulncheck.com |
解决方案
- 清理文件名并限制下载访问以防止未经授权的文件检索
- 更新API以清理’fileName’参数
- 为’downloads’端点实施访问控制
- 根据允许列表验证文件路径
- 移除或保护易受攻击的API版本
参考资源
| URL | 资源 |
|---|
| https://exchange.xforce.ibmcloud.com/vulnerabilities/206477 | | | https://packetstormsecurity.com/files/163702 | | | https://web.archive.org/web/20220527162453/http://www.ljkj2012.com/ | | | https://www.exploit-db.com/exploits/50163 | | | https://www.vulncheck.com/advisories/longjing-technology-bems-api-remote-arbitrary-file-download | | | https://www.zeroscience.mk/en/vulnerabilities/ZSL-2021-5657.php | |
CWE关联
- CWE-22:路径遍历 - 对路径名限制到受限目录不当
- CWE-552:外部方可访问的文件或目录
CAPEC攻击模式
- CAPEC-64:使用斜杠和URL编码组合绕过验证逻辑
- CAPEC-76:操纵Web输入到文件系统调用
- CAPEC-78:在替代编码中使用转义斜杠
- CAPEC-79:在替代编码中使用斜杠
- CAPEC-126:路径遍历
- CAPEC-150:从常见资源位置收集数据
- CAPEC-639:探测系统文件
漏洞时间线
2025年11月12日 - 新CVE由disclosure@vulncheck.com接收
变更记录:
- 添加漏洞描述
- 添加CVSS V4.0评分
- 添加CWE-22和CWE-552分类
- 添加多个参考链接