2024-06-15 微信公众号精选安全技术文章总览

洞见网安 2024-06-15

0x1 【1day】Serv-U CVE-2024-28995 任意文件读取漏洞【附poc】

苏诺木安全团队 2024-06-15 00:00:13

本文介绍了Serv-U软件中的一个安全漏洞CVE-2024-28995，该漏洞允许攻击者进行任意文件读取，从而获取系统敏感信息。Serv-U是SolarWinds旗下的全球品牌，提供网络文件传输的完整可见性、控制和集中管理，支持多种文件传输安全协议，帮助用户符合PCI DSS等安全标准。漏洞存在于Serv-U的InternalDir接口中。文章提供了一个漏洞检测的PoC（Proof of Concept），通过构造特定的HTTP请求，可以检测目标服务器是否受该漏洞影响。此外，还提供了一个Python脚本，用于批量或单个URL的漏洞检测。最后，文章提醒用户官方已经发布了补丁，并建议升级至最新版本以修复此漏洞。

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安简报【2024/6/15】