Erxes Path Traversal vulnerability

CVE-2024-57189 → 在 GitHub 檢視 ↗ 在 CVE.org 檢視 ↗ 在 NVD 檢視 ↗

描述

In Erxes <1.6.2, an authenticated attacker can write to arbitrary files on the system using a Path Traversal vulnerability in the importHistoriesCreate GraphQL mutation handler.

基本資訊

類型
reviewed
嚴重度
medium
GitHub 上的公告
開啟公告 ↗
儲存庫公告
原始碼
瀏覽原始碼 ↗
公開(公告)
2025-06-10 18:32:27 UTC
更新時間
2025-06-10 20:25:50 UTC
GitHub 審核
2025-06-10 20:25:49 UTC
NVD 公開
2025-06-10

EPSS Score

Score Percentile
0.75% 73.08%

CVSS Scores

Base score Version Severity Vector
5.7 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:P 點擊展開
攻擊向量 (AV:N)
可經網際網路或企業可路由網段遠端觸達,攻擊者不必在裝置旁邊。
攻擊複雜度 (AC:L)
步驟短、路徑清楚,重現成本低。
攻擊要件 (AT:N)
除網路可達外,不必額外湊齊罕見基礎設施或資料形態。
權限需求 (PR:L)
一般使用者權限足夠,不必管理員/root。
使用者互動 (UI:N)
不必受害者點連結、放行巨集或安裝軟體,攻擊鏈可自動走完。
受影響系統的機密性影響 (VC:N)
從被攻破的元件幾乎讀不走有價值的機密資料。
受影響系統的完整性影響 (VI:H)
可竄改稽核鏈、植入後門或大面積偽造業務資料,動搖信任根基。
受影響系統的可用性影響 (VA:N)
不至於出現業務意義上的長時間停擺或災難性效能崩塌。
後續系統的機密性影響 (SC:N)
經脆弱點波及下游後,幾乎讀不走有價值的機密資料。
後續系統的完整性影響 (SI:N)
下游紀錄與業務規則幾乎不被撼動。
後續系統的可用性影響 (SA:N)
下游不至於被拖到長時間癱瘓。
利用成熟度(Threat) (E:P)
PoC、指令稿或示範已公開,但未見成規模的實戰濫用與工具化。

Identifiers

Type Value
GHSA GHSA-2977-5php-6789 ↗
CVE CVE-2024-57189 ↗

CWEs

CWE id Name
CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
CWE-24 Path Traversal: '../filedir'

Affected packages (1)

Vulnerable version ranges and first patched releases as published by GitHub.

Ecosystem Package Vulnerable range First patched Vulnerable functions
npm erxes < 1.6.2 1.6.2

References

cvelogic Threat Intelligence