漏洞描述 HSC Mailinspector存在目录遍历漏洞,未经身份验证的用户可以滥用/public/loader.php文件中存在的目录遍历漏洞。path参数无法正确筛选传递的文件和目录是否为webroot的一部分,从而使攻击者能够读取服务器上的任意文件。
相关漏洞推荐 POCCVE-2024-34470: HSC Mailinspector 5.2.17-3 through 5.2.18 - Local File Inclusion POCCVE-2024-34470: HSC Mailinspector 5.2.17-3 through 5.2.18 - Local File Inclusion 无POCHSC Mailinspector 任意文件读取漏洞(CVE-2024-34470)