CVE-2023-53942：File Thingie 危险类型文件无限制上传漏洞

严重性： 严重 类型： 漏洞 CVE ID： CVE-2023-53942

File Thingie 2.5.7 版本存在一个经过身份验证的文件上传漏洞，允许远程攻击者将恶意的 PHP zip 压缩包上传到 Web 服务器。攻击者可以创建自定义的 PHP 有效负载，上传并解压，然后通过一个带有命令参数的精心构造的 PHP 脚本执行任意系统命令。

技术分析摘要

CVE-2023-53942 影响了由 leefish 开发的基于 Web 的文件共享应用程序 File Thingie 版本 2.5.7。该漏洞源于一个经过身份验证的文件上传机制，该机制未能正确限制用户可以上传的文件类型。具体来说，拥有有效凭据的攻击者可以向服务器上传恶意的 PHP zip 压缩包。一旦上传，这些压缩包可以在服务器上解压缩，从而允许执行其中嵌入的 PHP 脚本。精心构造的 PHP 有效负载包含一个命令参数，可实现任意系统命令执行，有效地赋予了攻击者远程代码执行能力。该漏洞需要身份验证，但除此之外不需要用户交互，并且可以通过网络远程利用。其 CVSS 4.0 向量（AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H）反映了严重级别，突出了其易被利用性以及对受影响系统机密性、完整性和可用性的高影响。目前没有相关的补丁或官方修复程序，也没有已知的野外利用报告，但由于该漏洞的性质，风险仍然很大。此缺陷可能允许攻击者获得持久访问权限、提升权限并危害托管 File Thingie 应用程序的整个服务器。

潜在影响

对于欧洲组织而言，此漏洞构成了重大风险，特别是那些在处理敏感或受监管数据的环境中使用了 File Thingie 2.5.7 的组织。成功利用可能导致系统完全被破坏、数据窃取、服务中断以及网络内的横向移动。由于攻击者可以访问敏感文件，机密性面临风险；通过未经授权的命令执行和潜在的数据操作，完整性受到损害；攻击者可能通过破坏服务或部署勒索软件来影响可用性。金融、医疗保健、政府和关键基础设施等领域的组织尤其脆弱，因为可能面临严重的运营和声誉损害。身份验证要求降低了攻击面，但并未消除风险，因为凭据泄露或内部威胁可能促使其被利用。缺乏已知的野外利用表明防御者有机会在广泛攻击发生之前进行修复。

缓解建议

1. 立即升级： 一旦供应商提供修补版本，立即将 File Thingie 升级到该版本。
2. 限制文件类型： 如果暂无补丁可用，则限制文件上传功能，仅允许安全的文件类型，并明确阻止 PHP 和压缩文件。
3. 强化访问控制： 实施严格的访问控制和多因素身份验证，以降低凭据泄露风险。
4. 加强监控： 监控 Web 服务器日志和应用程序日志，查找可疑的文件上传，特别是包含 PHP 文件的 zip 压缩包。
5. 部署 WAF： 使用具备检测和阻止上传或执行恶意脚本尝试规则的 Web 应用防火墙。
6. 网络隔离： 将 File Thingie 服务器与关键内部网络隔离，以限制被入侵后的横向移动。
7. 定期审计与测试： 进行定期的安全审计和渗透测试，重点关注文件上传功能。
8. 用户教育： 教育用户防范网络钓鱼和注意凭据安全，以防止未经授权的访问。
9. 临时禁用功能： 如果可行，考虑在应用补丁之前暂时禁用文件解压功能。
10. 备份与应急： 维护最新的备份和事件响应计划，以便从潜在的破坏中快速恢复。

受影响国家/地区

德国、法国、英国、荷兰、意大利、西班牙、波兰、瑞典