CVE-2023-5588：Pleroma路径遍历漏洞分析

漏洞概述

在kphrx开发的Pleroma中发现了一个安全漏洞，该漏洞被归类为问题性漏洞。漏洞影响位于lib/pleroma/emoji/pack.ex文件中的Pleroma.Emoji.Pack功能。攻击者可通过操纵name参数实现路径遍历攻击。

技术细节

受影响版本

• 受影响版本：< 2.5.3
• 已修复版本：2.5.3

漏洞特性

• 攻击复杂度：较高
• 可利用性：困难
• 严重程度：低危

漏洞评分

• CVSS总体评分：2.6/10
• CVSS v3基础指标：
  • 攻击向量：相邻网络
  • 攻击复杂度：高
  • 所需权限：低
  • 用户交互：无
  • 影响范围：未改变
  • 机密性影响：低
  • 完整性影响：无
  • 可用性影响：无

修复方案

补丁信息

修复补丁名为：2c795094535537a8607cc0d3b7f076a609636f40

建议措施

推荐用户应用补丁修复此问题。该产品未使用版本控制，因此无法提供受影响和未受影响版本的详细信息。

相关标识

• 漏洞标识：VDB-242187
• CVE ID：CVE-2023-5588
• GHSA ID：GHSA-2c28-m2m7-mf55

弱点分类

• CWE-22：路径遍历漏洞
• 描述：产品使用外部输入构建路径名时，未能正确过滤特殊元素，导致可以访问受限目录外的位置。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2023-5588
• kphrx/pleroma#197
• kphrx/pleroma@2c79509
• https://vuldb.com/?ctiid.242187
• https://vuldb.com/?id.242187
• https://github.com/kphrx/pleroma/commits/v2.5.3