CVE-2021-4472:OpenStack Mistral 客户端的本地文件包含漏洞
漏洞摘要
OpenStack的Mistral-dashboard插件存在一个本地文件包含(LFI)漏洞。具体而言,攻击者可以利用“创建工作簿”(Create Workbook)功能,构造恶意请求,从而读取服务器上的任意本地文件内容。该漏洞被分配了CVE编号CVE-2021-4472,并在GitHub安全通告数据库中列为已审查。
受影响版本与修复
- 受影响软件包:
python-mistralclient(通过pip安装) - 受影响版本: 所有低于 4.3.0 的版本
- 已修复版本: 4.3.0
漏洞详情与影响
此漏洞属于“外部文件或路径名可控”(CWE-73)类型,意味着产品允许用户输入来影响文件系统操作中使用的路径或文件名。攻击向量为网络,攻击复杂度低,但需要攻击者拥有低权限的账户,且无需用户交互。其影响范围未改变,主要导致机密性方面的高度风险(可泄露敏感文件内容),但对完整性和可用性无直接影响。根据CVSS v3.1标准,该漏洞的总体评分为6.5(中等严重性)。
参考链接
- NVD漏洞详情: https://nvd.nist.gov/vuln/detail/CVE-2021-4472
- Red Hat安全通告: https://access.redhat.com/security/cve/CVE-2021-4472
- 上游Bug报告: https://bugs.launchpad.net/horizon/+bug/1931558
- 修复代码审查 (mistral-dashboard): https://review.opendev.org/c/openstack/mistral-dashboard/+/800952
- 修复代码审查 (python-mistralclient): https://review.opendev.org/c/openstack/python-mistralclient/+/800950
- 源代码仓库: https://opendev.org/openstack/mistral-dashboard
安全建议
所有使用OpenStack Mistral组件的用户应立即升级python-mistralclient包至4.3.0或更高版本,以修复此本地文件包含漏洞。