【漏洞复现】Netflix Genie文件上传路径遍历漏洞（CVE-2024-4701）

文章预览

一、漏洞 概述 漏洞名称   Netflix  Genie文件上传路径遍历漏洞 CVE   ID CVE-2024-4701 漏洞类型 路径遍历 发现时间 2024-05-23 漏洞评分 9.9 漏洞等级 严重 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 已公开 在野利用 未发现 Genie 是 Netflix 开发的开源分布式作业编排引擎，提供 REST-ful API 来运行各种大数据作业，例如 Hadoop、Pig、Hive、Spark、Presto、Sqoop 等。它还提供API 用于管理许多分布式处理集群的元数据以及在集群上运行的命令和应用程序。 2024年5月23日，启明星辰集团VSRC监测到Netflix Genie文件上传中存在路径遍历漏洞（CVE-2024-4701），其CVSS评分为9.9，目前该漏洞的技术细节及PoC已公开。 Genie OSS 4.3.18之前版本在文件上传中存在路径遍历漏洞，由于Genie 的 API 接受multipart/form-data 文件上传并可将文件保存到磁盘上，但在将文件写入磁盘时它会 ………………………………