合集- 漏洞复现(3) 1.[漏洞复现] httpd 后缀解析2024-11-07 2.[漏洞复现] elasticsearch 目录遍历 (CVE-2015-3337)2024-10-24 3.PortSwigger 业务逻辑漏洞01-16 合集:漏洞复现 分类:渗透测试 标签:目录遍历 好文要顶关注我收藏该文 AuriGe 粉丝-3关注 -3 ...
Elasticsearch 目录遍历漏洞(CVE-2015-3337)是一个严重的安全漏洞,它允许攻击者通过特定请求路径读取服务器上的任意文件。以下是对该漏洞的详细分析和应对措施: 1. 漏洞描述 Elasticsearch 在安装了具有“site”功能的插件后,攻击者可以通过构造特定的请求路径,利用“../”序列向上层目录跳转,从而访问和读取服务器上的...
cd vulhub-master/elasticsearch/CVE-2015-3337/ sudo docker-compose up 目录穿越漏洞:ElasticSearch安装site插件后,通过…/可以向上层目录跳转,导致任意文件读取。 访问目的地址:192.168.91.130:9200/_plugin/head/ 使用Burp向目的地址 192.168.91.130:9200/_plugin/head/…/…/…/…/…/…/…/…/…/etc/passwd...
Open vulfocus/elasticsearch-cve_2015_3337: 无可用漏洞插件 使用/_cat/plugins查看所有已安装的插件 没有任何插件 访问漏洞插件也是404 Devil-QAQ added bugSomething isn't working on Oct 20, 2022 Devil-QAQ assigned xxxxbxxxxx on Oct 20, 2022
elasticsearch又出新版本了,这次修复了一个任意文件读取漏洞(写的是目录遍历)。 https://www.elastic.co/community/security CVE-2015-3337 All Elasticsearch versions prior to 1.5.2 and 1.4.5 are vulnerable to adirectory traversal attackthat allows an attacker to retrieve files from the server running El...
您的帖子很精彩!希望很快能再分享您的下一帖!
Elasticsearch 任意文件读取漏洞(CVE-2015-3337) elasticsearch又出新版本了,这次修复了一个任意文件读取漏洞(写的是目录遍历)。 https://www.elastic.co/community/security C… SecPulse 2015-05-13 20:31:55 16,48000 Web安全 elasticsearch river未授权访问可泄漏数据库配置信息 ...