鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】MiniWeb HTTP Server 文件上传误差(CVE-2013-10047)

宣布时间 2025-08-04

一、误差概述

误差名称	MiniWeb HTTP Server 文件上传误差
CVE ID	CVE-2013-10047
误差类型	未授权文件上传	发明时间	2025-08-04
误差评分	9.3	误差品级	严重
攻击向量	网络	所需权限	无
使用难度	低	用户交互	不需要
PoC/EXP	已果真	在野使用	未发明

MiniWeb HTTP Server 是一款轻量级的开源 Web 效劳器，，，旨在提供高效、精练的 HTTP 效劳。。。。。它支持基本的 Web 请求处置惩罚，，，适用于嵌入式装备和资源受限的情形。。。。。MiniWeb 具有较小的内存占用和快速的响应速率，，，适适用作小型网站或 IoT 装备的 Web 效劳。。。。。

2025年8月4日，，，鉴黑担保网集团VSRC监测到MiniWeb HTTP Server ≤ Build 300中的一项严重误差，，，允许未经身份验证的远程攻击者上传恣意文件。。。。。攻击者可通过路径遍历误差上传恶意.exe文件至系统目录（如System32），，，并进一步上传.mof文件至WMI目录，，，使用Windows治理工具效劳以SYSTEM权限执行恶意代码。。。。。该误差仅影响Windows Vista之前的版本。。。。。误差评分9.3分，，，误差级别严重。。。。。

二、影响规模

Miniweb Http Server <= Build 300，，，仅影响Windows Vista之前的版本。。。。。

三、清静步伐

3.1 升级版本

限制上传文件类型：榨取上传.exe, .mof等可执行文件和剧本文件，，，只允许上传非执行文件（如.jpg, .png等）。。。。。

路径遍历防护：对上传的文件路径举行严酷校验，，，确保文件无法通过路径遍历（如../）上传到系统敏感目录。。。。�？？？？？？梢允褂美慰磕柯枷拗苹蚵肪豆娣痘�。。。。。

增强文件存储治理：将上传文件存储在隔离目录中，，，并确保该目录不可执行，，，阻止文件被误执行。。。。。特殊是在system32和wbem等系统目录中，，，榨取文件写入。。。。。

日志纪录与审计：增强文件上传操作的日志纪录，，，并按期审计上传纪录，，，实时发明并响应潜在的恶意文件上传行为。。。。。

3.2 暂时步伐

暂无。。。。。

3.3 通用建议

?按期更新系统补丁，，，镌汰系统误差，，，提升效劳器的清静性。。。。。

?增强系统和网络的会见控制，，，修改防火墙战略，，，关闭非须要的应用端口或效劳，，，镌汰将危险效劳（如SSH、RDP等）袒露到公网，，，镌汰攻击面。。。。。

?使用企业级清静产品，，，提升企业的网络清静性能。。。。。

?增强系统用户和权限治理，，，启用多因素认证机制和最小权限原则，，，用户和软件权限应坚持在最低限度。。。。。

?启用强密码战略并设置为按期修改。。。。。

3.4 参考链接

https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/http/miniweb_upload_wbem.rb

https://www.exploit-db.com/exploits/27607

上一篇下一篇

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】