LanProxy路径遍历漏洞（CVE-2021-3019）

发表于2022-10-10|更新于2025-08-24|漏洞篇

|总字数:197|阅读时长:1分钟|浏览量:

0x01 漏洞描述

- LanProxy路径遍历漏洞（CVE-2021-3019） -

LanProxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具。LanProxy 存在目录遍历漏洞，攻击者构造恶意请求，可直接获取到LanProxy配置文件，从而登录LanProxy管理后台进入内网。

0x02 漏洞等级

威胁级别

高危

中危

低危

0x03 漏洞验证

探测到目标服务器存在LanProxy代理工具web管理面板。

使用检测语句读取系统配置文件 config.properties ，响应包返回了配置文件的信息，证明存在路径遍历漏洞。

0x04 漏洞修复

禁止将LanProxy管理面板对公网开放。
路由层配置过滤“../”及其编码。
升级LanProxy版本。

文章作者: 鸣剑

文章链接: http://www.mkeysafe.com/posts/ab4372e9.html

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源鸣剑Sec！

LanProxy 路径遍历 CVE-2021-3019

数据加载中