尊龙凯时

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】MiniWeb HTTP Server 文件上传误差(CVE-2013-10047)

宣布时间 2025-08-04

一、误差概述

误差名称	MiniWeb HTTP Server 文件上传误差
CVE ID	CVE-2013-10047
误差类型	未授权文件上传	发明时间	2025-08-04
误差评分	9.3	误差品级	严重
攻击向量	网络	所需权限	无
使用难度	低	用户交互	不需要
PoC/EXP	已果真	在野使用	未发明

MiniWeb HTTP Server 是一款轻量级的开源 Web 服务器，旨在提供高效、精练的 HTTP 服务。它支持基本的 Web 请求处置惩罚，适用于嵌入式装备和资源受限的情形。MiniWeb 具有较小的内存占用和快速的响应速率，适适用作小型网站或 IoT 装备的 Web 服务。

2025年8月4日，尊龙凯时集团VSRC监测到MiniWeb HTTP Server ≤ Build 300中的一项严重误差，允许未经身份验证的远程攻击者上传恣意文件。攻击者可通过路径遍历误差上传恶意.exe文件至系统目录（如System32），并进一步上传.mof文件至WMI目录，使用Windows治理工具服务以SYSTEM权限执行恶意代码。该误差仅影响Windows Vista之前的版本。误差评分9.3分，误差级别严重。

二、影响规模

Miniweb Http Server <= Build 300，仅影响Windows Vista之前的版本。

三、清静步伐

3.1 升级版本

限制上传文件类型：榨取上传.exe, .mof等可执行文件和剧本文件，只允许上传非执行文件（如.jpg, .png等）。

路径遍历防护：对上传的文件路径举行严酷校验，确保文件无法通过路径遍历（如../）上传到系统敏感目录�？梢允褂美慰磕柯枷拗苹蚵肪豆娣痘�。

增强文件存储治理：将上传文件存储在隔离目录中，并确保该目录不可执行，阻止文件被误执行。特殊是在system32和wbem等系统目录中，榨取文件写入。

日志纪录与审计：增强文件上传操作的日志纪录，并按期审计上传纪录，实时发明并响应潜在的恶意文件上传行为。

3.2 暂时步伐

暂无。

3.3 通用建议

?按期更新系统补丁，镌汰系统误差，提升服务器的清静性。

?增强系统和网络的会见控制，修改防火墙战略，关闭非须要的应用端口或服务，镌汰将危险服务（如SSH、RDP等）袒露到公网，镌汰攻击面。

?使用企业级清静产品，提升企业的网络清静性能。

?增强系统用户和权限治理，启用多因素认证机制和最小权限原则，用户和软件权限应坚持在最低限度。

?启用强密码战略并设置为按期修改。

3.4 参考链接

https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/http/miniweb_upload_wbem.rb

https://www.exploit-db.com/exploits/27607

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号