漏洞概述
NodeBB Plugin Emoji 3.2.1 版本中存在一个任意文件写入漏洞。具有管理员权限的攻击者可通过表情上传 API,利用目录遍历技术向系统任意位置写入文件,从而可能覆盖关键系统文件,造成严重安全风险。
漏洞详情
- CVE 编号:CVE-2021-47746
- 漏洞类型:任意文件写入(CWE-73:外部控制的文件名或路径)
- CVSS 评分:CVSS v4.0 基础评分为 8.6(HIGH);CVSS v3.1 基础评分为 7.5(HIGH)
- 影响版本:NodeBB Plugin Emoji 3.2.1
影响范围
该漏洞影响使用 NodeBB Plugin Emoji 插件 3.2.1 版本的 NodeBB 论坛实例。攻击者需具备管理员权限才能利用此漏洞。
风险分析
尽管该漏洞要求攻击者已拥有管理员权限,但其仍可被用于进一步扩大攻击面。攻击者可通过构造恶意文件上传请求,利用目录遍历(如 ../../../etc/passwd)将任意内容写入服务器任意路径,可能导致系统文件被覆盖、服务中断,甚至远程代码执行(若写入可执行脚本或配置文件)。在多租户或共享主机环境中,该漏洞可能带来更严重的横向移动风险。
修复建议
- 建议用户立即升级至 NodeBB Plugin Emoji 的安全版本(如有)。请关注官方 GitHub 仓库或 NodeBB 官网的安全公告。
- 在无法立即升级的情况下,可临时限制管理员账户的访问权限,或对表情上传功能进行输入过滤,禁止包含路径遍历字符(如
../)的文件名。
