2024年9月24日,网上更新披露了Calibre export 任意文件读取漏洞(CVE-2024-6781)。
Calibre是印度Kovid Goyal个人开发者的一个开源免费的全能电子书阅读管理与格式转换工具。 Calibre 7.14.0版本及之前版本存在安全漏洞,该漏洞源于路径遍历允许未经身份验证的攻击者实现任意文件读取。
漏洞风险:在Calibre <= 7.14.0中存在路径遍历漏洞,使得未授权攻击者能够实现任意文件读取。
风险等级:高风险。
影响范围:
Calibre <= 7.14.0
修复建议:
建议升级至7.14.1及其以上版本。
进行安全更新方法:
https://github.com/kovidgoyal/calibre/commit/bcd0ab12c41a887f8290a9b56e46c3a29038d9c4
