文章预览
一、漏洞 概述 漏洞名称 Artifex Ghostscript任意文件读写漏洞 CVE ID CVE-2024-29511 漏洞类型 目录遍历 发现时间 2024-07-04 漏洞评分 7.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 已公开 在野利用 未发现 Ghostscript是美国Artifex Software公司的一款开源的PostScript解析器,被广泛应用于文档转换和打印服务。 2024年7月10日,启明星辰集团VSRC监测到Artifex Ghostscript任意文件读写漏洞(CVE-2024-29511)的漏洞细节及PoC在互联网上公开,该漏洞的CVSS评分为7.5。 在使用Tesseract OCR引擎来识别和转换图像中的文本时,Artifex Ghostscript 10.02.1及之前版本中存在目录遍历漏洞,威胁者可通过OCRLanguage参数导致任意文件读取并可能写入任意文件。 二、漏洞复现 三、影响范围 Ghostscript < = 10.02.1 四、安全措施 4.1 升级版本 目前该漏洞已经修复,受影响用户
………………………………
