01 漏洞详情

影响组件

HFS（HTTP File Server）是一个简单易用的文件服务器软件，用户可以通过直观的 web 界面来管理文件和目录的共享。

漏洞描述

近日，奇安信CERT监测到Rejetto HTTP File Server 模板注入漏洞(CVE-2024-23692)，由于该系统存在模板注入漏洞，未经身份验证的攻击者通过发送特制的 HTTP 请求在受影响的系统上执行任意命令。目前该漏洞已发现在野利用，鉴于该漏洞EXP已广泛传播，利用成本极低，请您立即着手修复，以避免潜在风险。

02 影响范围

影响版本

HTTP File Server 2.X版本

其他受影响组件

无

03 复现情况

目前，奇安信威胁情报中心安全研究员已成功复现Rejetto HTTP File Server 模板注入漏洞(CVE-2024-23692)，截图如下：

04 受影响资产情况

奇安信鹰图资产测绘平台数据显示，Rejetto HTTP File Server 模板注入漏洞(CVE-2024-23692)关联的国内风险资产总数为84919个，关联IP总数为13059个。国内风险资产分布情况如下：

Rejetto HTTP File Server 模板注入漏洞(CVE-2024-23692)关联的全球风险资产总数为203028个，关联IP总数为25191个。全球风险资产分布情况如下：

05 处置建议

安全更新

目前官方已不再维护HFS 2.x版本，建议客户升级至HFS 3.x版本：

官方最新版本下载地址：

https://github.com/rejetto/hfs/releases

06 参考资料

[1]https://mohemiv.com/all/rejetto-http-file-server-2-3m-unauthenticated-rce/

[2]https://github.com/rejetto/hfs2

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。